htmlspecialchars vs htmlentities, когда речь идет о XSS

Я видел много противоречивых ответов по этому поводу. Многие люди любят цитировать, что одни только функции php не защитят вас от xss.

Какой именно XSS может пройти через htmlspecialchars, а какой - через htmlentities?

Я понимаю разницу между функциями, но не различные уровни защиты xss, которые у вас остались. Может ли кто-нибудь объяснить?