Ich habe viele widersprüchliche Antworten dazu gesehen. Viele Leute lieben es zu zitieren, dass PHP-Funktionen alleine Sie nicht vor xss schützen.

Was genau kann XSS durch htmlspecialchars schaffen und was kann es durch htmlentities schaffen?

Ich verstehe den Unterschied zwischen den Funktionen, aber nicht die verschiedenen Ebenen des xss-Schutzes, die Ihnen verbleiben. Könnte jemand erklären?