$data_html = filter_input(INPUT_GET, 'text', FILTER_SANITIZE_SPECIAL_CHARS);

Den "gesamten" Input auf diese generöse Weise zu filtern führt dazu, dass man sich hernach beim Programmieren grundlos "sicher" fühlt… Ich würde statt dessen zur individuellen Verwendung filter_var() raten. Oder, wie mein Vorredner ausführt die für den jeweiligen Kontext passenden Funktionen bzw. Methoden anwenden.