Übrigens kann man auch einfach die im Browser eingebaute Funktion Nutzen, um HTML zu escapen. Ist weit verbreitetet. Man erzeugt im Speicher ein HTML-Element, welches aber nie in die Seite eingefügt wird, sondern nur "missbraucht" wird.
Javascript:
function HTMLEscape(s) {
var div = document.createElement("div");
var text = document.createTextNode(s);
div.appendChild(text);
return div.innerHTML;
}