Para que puedas entender el concepto de xss te recomiendo esta lectura http://shiflett.org/blog/2006/jan/ad...-escape-string

Pero en simples terminos solo necesitas usar en la librería de mysql (no recomendada porque va a estar obsoleta) la función mysql_real_escape_string en MySQLi con mysqli::real_escape_string y si es con PDO usar los bindValue o bindParam.

La idea de la función que indicaste es evitar atacan con consultas a la base de datos, sino que usen los campos que nosotros hemos indicado, cualesquiera de las funciones que te indiqué son las necesarias para evitar esta primera parte del ataque.