Creo que primero deberías tener claro eso de "inyectar código", ¿qué es lo mas grave que imaginas pueda pasar si no filtras el HTML?

Nada mas allá de XSS o CSRF, así que sugiero investigar dichas técnicas.

El quilombo de funciones que te han dado no sirven de nada sin explicación, es el común denominador de quienes no saben exactamente cual es su problema y terminan usando todas a la vez.