Para la inyeccion SQL suelo usar varias cosas, por ejemplo, si espero un entero, uso intval() para obtener el valor entero solamente, lo cual me elimina otros caracteres no deseados. Para cadenas uso mysql_real_escape_string().

Para XSS, lo mas sencillo es usar htmlspecialchars() o htmlentities() donde imprimes texto.