htmlspecialchars vs htmlentities quand concernés par XSS

J'ai vu beaucoup de réponses contradictoires à ce sujet. Beaucoup de gens aiment à citer que des fonctions php ne suffiront pas à vous protéger contre les attaques de type xss.

Ce XSS exactement peut le faire à travers htmlspecialchars et ce qui peut le faire à travers htmlentities?

Je comprends la différence entre les fonctions, mais pas les différents niveaux de protection xss vous êtes de gauche avec. Quelqu'un pourrait-il m'expliquer?

InformationsquelleAutor stuckinphp | 2010-09-02