Cita:
Iniciado por Michoacano 
La función me parece algo complicada para evitar un simple xss.
además se tendría que llamar para cada variable.
Te sugiero que revises la siguiente
página para que veas que tan dificil es evitar "un simple xss".
A propósito, la función que puso nicolaspar no cubre el %100 de los casos que se presentan en la página que te indiqué.