El php no se incluye en el html.
Para que te hagas una idea, el php se ejecuta en el servidor (el hosting), mientras que el html y el javascript se ejecutan/interpretan en el cliente (el navegador). La función para filtrar ataques que han enlazado mas arriba está hecha en php así que la deberías llamar desde un script php que reciba los valores del formulario.
La instruccion seria de este estilo:
Código:
$nombre = filterXSS($_POST['txtnombre']);
En este ejemplo se está filtrando el campo "txtnombre" del formulario y se guarda en la variable $nombre. Si este código te suena a chino te recomiendo que primero aprendas un poco de php :)
Saludos!