Tach.

htmlentities() hat eine abgespeckte Variante names htmlspecialchars(), sie verarbeitet nur <, > und &, also die wirklich sicherheitsrelevanten Zeichen.

Jepp, zusätzlich jedoch auch noch die doppelten Anführungszeichen, wenn man keine anderlautenden Zusatzangaben beim Aufrufen der Funktion macht.