Ваша функция возвращает правильную строку.
Когда вы просматриваете его в HTML-документе, он интерпретируется как сущность.
Мой совет - кодировать ответ при его отображении, например,
$foo = foo();
echo htmlspecialchars($foo, ENT_QUOTES, 'UTF-8');
Изменение возвращаемого значения вашей функции, вероятно, вызовет проблемы позже, когда вам может не потребоваться закодированная строка.