Достаточно ли использования htmlspecialchars () во всех ситуациях?

Моим пользователям разрешено вставлять что угодно в мою базу данных.

Таким образом, использование белого / черного списка символов не вариант.

Я беспокоюсь не о конце базы данных (SQL-инъекция), а о внедрении кода в мои страницы.

Существуют ли ситуации, когда htmlspecialchars () недостаточно для предотвращения внедрения кода?