Convertendo in entità html hai già fatto un passo avanti nel rendere più sicuro l'applicazione. Detto questo, esistono molte altre vulnerabilità delle quali tenere conto. Ma bisognerebbe sapere come è fatto il sito.

Ad esempio se vi sono delle inclusioni dinamiche, quello è un punto sul quale fare attenzione.

Se i dati sono salvati nel database bisognerebbe fare un escape delle stringhe, magari con mysql_real_escape_string.

Se utilizzi i database, la peggiore minaccia sono le sql injection. Ti consiglio quindi di leggere questo articolo

http://php.html.it/articoli/leggi/89...sql-injection/

Ma comunque, senza sapere come è composta la tua applicazione, non saprei cosa dire d'altro