leider ist htmlspeacialchars() nicht das Ende aller dinge gerade UTF7 ist hier besonders hilfsbreit. http://shiflett.org/blog/2007/may/character-encoding-and-xss

Also damit im MSIE überhaupt UTF7 angewendet wird, muss schon einiges zusammenkommen. Sobald du selber eine von UTF-7 verschiedenes Encoding im HTTP Header oder meta angibst, ist da eigentlich keine Chance.

Das sagt auch deine verlinkte Seite:
"When using htmlspecialchars() without specifying the character encoding, XSS attacks that use UTF-7 are possible."

Also definiere das Character-Encoding und gut ist es.

mfg Beat