У меня есть PHP-код, как это

<?php
    $input_from_user = "w' onclick = 'alert(document.cookie);'";
    $i_am_barcelona_fan = htmlentities($input_from_user);
?>
<input type = 'text' name = 'messi_fan' value ='<?php echo $i_am_barcelona_fan;?>' />

Я используюhtmlentities для защиты от атаки XSS, но все же я уязвим для вышеуказанной строки. Почему мой код уязвим для атаки XSS? Как я могу защитить от своего кода от него?