Si usas htmlspecialchars() no pueden poner etiquetas algunas. Porque los signos '<' y '>' se reemplazan por sus entidades HTML, por lo tanto el codigo dentro de estas no se va a ejecutar.

En el caso de pasar variables por URL, ¿que tipo de comprobaciones haces antes de hacer, por ejemplo, una consulta con esa variable?