Jeje, no he probado la función, pero personalmente no me gusta como funciona.
Por ejemplo si pongo lo siguiente:
Código PHP:
echo sacarXss('esto es un script');
La función, devuelve "esto es un sc<x>ript", lo cual obviamente está mal
- a propósito, esa función me parece más
una prueba de concepto para evitar los casos expuestos en ha.ckers.org/xss.html
Saludos