Почему htmlentities не может на 100% обезопасить от XSS?

На Stack Overflow и на других форумах в темах по защите от XSS видел, что люди говорят про то, что htmlentities не спасет во всех случаях, но почему, никто не говорит (или объяснено очень скупо).
Я не понимаю, почему в некоторых случаях hmtlenties может не помочь. Ведь эту функция заменяет все символы на html-сущности и поэтому любая вставка вредоносного кода превратиться в обычный текст.

Допустим на сайте пользователь оставил такой комментарий:
<script>hack();alert("Вы взломаны")</script>
Благодаря htmlentites в этом и подобных случаях XSS-атаки не произойдет.
Тогда в каких же случаях htmlentites может не помочь?

Многие советуют для более полной защиты использовать HTML Purifier, но я абсолютно не понимаю почему нельзя обойтись лишь одним htmlentitites()