Gracias eso me kedo mas claro, entonces la validadcion es en la pagina que recibe los valores del formulario, que tonto yo lo hacia donde estaba el formulario.

Entonces lo que hice es esta linea:

$nombre = filterXSS($_POST['txtnombre']);

pero de ahi de nuevo me kedo con la duda que sigue, lo puse en la instruccion donde doy de alta los datos algo asi

mysql_query("inset into tabla(nombre)values('$nombre'),$conexion);"

Hice la prueba y no hace nada, todo pasa igual.