Ваш код работает правильно. htmlentities преобразует html-сущности в определенную последовательность символов, которую ваш браузер может интерпретировать как сущность, которую вы хотите отобразить в вашем браузере. Это сделано для предотвращения запуска вредоносного кода в вашем скрипте.
Как пример:
Без использования html-сущностей эта строка кода будет работать. Ваш браузер видит строку кода как:
<script>alert("I just hacked your html")</script>
Когда вы очищаете ту же строку кода с помощью htmlentities(), она заменяет все сущности определенной серией символьных представлений, которые браузер интерпретирует как сущность. Вот что выводится в браузер.
<script>alert("I just hacked your html")<
Этот скрипт не будет запускаться как javascript в вашем браузере.
Вот ссылка, которую вы можете прочитать, которая даст вам дополнительную информацию. В Google есть много информации, которая обрисовывает это в общих чертах.
HTML-сущности
Вот список html-сущностей:
Список объектов
Надеюсь, это поможет.