セッション固定攻撃（Session Fixation）の対策として正しいものはどれか。

XSS対策として `htmlspecialchars()` を使用する際、第3引数（文字コード）を省略した場合のデフォルト値は、PHP 5.6以降どうなっているか。