debes llamar a la funcion no en el formulario si no al recojer los datos

<form name="form1" method="post" action="comprobar.php">
<input type="text" name="txtnombre">
<input type="submit" value="enviar">
</form>

recojemos

$nombre = filterXSS($_POST['txtnombre']);

tal y como te dijo djemili