Pasa q hay varias capas de seguridad, y aunq empezaste el post preguntando por filtros anti XSS, el tema ha derivado en filtros anti enjection SQL.
Para "escapar" las variables, es decir limpiarlas antes de pasarlas a las consultas existen funciones como mysql_real_escape_string, puedes consultar el manual en php.net.
Puesto q creo q lo de los filtros XSS son otra cosa
salu2