Los datos tienes que pasarlos así: datos.php?nombre=juan
De esta forma, la variable $_GET[ 'nombre'*] contendrá en valor 'juan'.
Tu Script quedaría así:
Código PHP:
$sql = 'SELECT empresa.nombres';
$sql .= 'FROM empresa';
$sql .= 'WHERE empresa.nombres="' . htmlentities( strip_tags( mysql_real_escape_string( $_GET[ 'nombre' ] ) ) ) . '"';
Nota: no tengo mucha idea de evitar XSS porque no utilizo demasiado formularios, pero creo que de esa forma se evita todo.
Saludos.