Я видел много противоречивых ответов по этому поводу. Многие любят цитировать, что одни только функции php не защитят вас от xss.

Какой XSS может сделать это через htmlspecialchars и что может сделать это через htmlentities?

Я понимаю разницу между функциями, но не разные уровни защиты xss, которые у вас остались. Кто-нибудь может объяснить?