Muchas gracias a todos por sus respuestas. Gracias a sus explicaciones he instalado en mi web un script que funciona perfecto, filtra todas las entradas como $_POST, $_GET y $_REQUEST. Elimina todo lo que contenga caracteres sospechozos. Lo que quiero ahora es optimizar la lista de caracteres prohibidos, para que sea lo más agresivo posible sin afectar los contenidos alfanuméricos útiles.

Por ejemplo no debería bloquear estos caracteres: ,.@/\!?()'";:-_ etc. Pues se usan frecuentemente en direcciones de correo, urls y textos largos con signos de puntuación.

Pero hay muchos otros que usan los scripts maliciosos y que no son imprescindibles en los contenidos alfanuméricos. Ejemplo: <>[]{}%$&* etc.

Lo cierto es que después que instalé ese script los tests con Acunetix me marcan 0 alertas de seguridad.

Me pueden ayudar a incrementar la lista de caractares sospechozos?