Собсно сабж ^^^

Ну от Xss по мйму полностью защищает.

с какой стороны собсно опасность?

да она абсолютно безопасна, если считаете что я не прав, докажите обратное :/

Я имел ввиду защиту от xss.... Можно ли эту функцию обойти во время атаки...

если правильно все написано, не обойдешь.

имха - если что-то типа:
$var = htmlspecialchars( $var );
то ХСС здесь (переменной $var) не светит.

А от SQl защищает?

если в запрос типа такого "... where id = $id ..." то от инъекции не защитит
в цифровых параметрах лучше использовать приведение к типу или is_numeric()

А от SQl защищает?
Нет, для sql используют mysql_real_escape_string

$var = htmlspecialchars($var, ENT_QUOTES, 'UTF-8');

и тебе не страшны никакие xss-ки. ее можно обойти, если поиграться кодировками, если же прописана определенная кодировка, то все будет норм