Esque nose si lo estoy entendiendo mal, miren supongamos que esta este codigo

<form name="form1" method="post" action="comprobar.php">
<input type="text" name="txtnombre">
<input type="submit" value="enviar">
</form>

Ahora segun mi idea es para que en el campo nombre no puedan introducir xss, mandaria a llamar el archivo de arriba quedando algo asi:

include("filterXSS.php");
/*De ahi mando a llamr la funcion, esa es mi duda donde para que valide las entradas del formulario; */
<form name="form1" method="post" action="comprobar.php" /*No seria aqui? onsubmit="return filterXSS(this)"; asi como se le hace con javascript,*/>
<input type="text" name="txtnombre">
<input type="submit" value="enviar">
</form>

Si lo estoy entendiendo mal, podrian decirme en ese codigo de ejemplo como aria la validacion...Espero haberme explicado y gracias por su tiempo