Si yo defino que un dato no permite html, el dato no debe tener html.Es una propiedad del dato, y, en caso de tener html, al usuario hay que advertirle de que el campo es incorrecto, y debe modificarlo.
Como indico, el detector de XSS es para *log*.
Sobre que no pasa "nada", ya que utilizas htmlentities en los echos, depende de dónde hagas el echo.