tripoli, te estás liando.

Lo que tu quieres evitar es SQL Injection. Tu tienes una url del estilo de http://miservidor.com/articulo.php&id_noticia=1, y quieres evitar que si ponen "http://miservidor.com/articulo.php&id_noticia=1;DELETE * FROM noticias" esto te afecte a la base de datos.

Tal cómo ha dicho maycoalvarez, con solo usar PDO y prepared statements te ahorras este problema.

El tema del XSS es diferente. XSS es que tu tienes una web donde puedes entrar un texto y guardarlo en la base de datos (este foro, por ejemplo), y que un usuario malicioso pone un código que te redirecciona a otra web o similar. Esto parcialmente se soluciona con librarías que filtran los datos que se guardan que han entrado los usuarios.