Это немного слишком много для помещения его в один ответ. http://en.wikipedia.org/wiki/Google_platform
Вам нужно будет явно указать правильную кодировку (например: utf-8). У Криса было сообщение о том, как вводить код даже при вызове htmlentities без соответствующей кодировки.
Он не пуленепробиваемый, он никогда не спасет вас на 100%. Вы должны помнить, что когда дело доходит до безопасности, разработчик несет ответственность за это. Языки действительно предоставляют множество функций безопасности, и, более того, разработчик должен решать, как защитить свой сайт, независимо от того, используют ли они подход с использованием белого или черного списка. Если бы htmlentities было всем, такие фреймворки, как codeigniter, kohana и другие, не имели бы своих собственных замечательных функций безопасности.
Самое важное - это очистить и отфильтровать любой ввод, исходящий от пользователя.