Hola, gracias por el interes, he estado revisando el tema del xss que mencionas y, (tal vez porque no busque lo suficiente) no he encontrado una razon real para incluir una proteccion como la del aporte mencionado.

El unico "agujero" de seguridad posible, es que el usuario tenga acceso a un documento que esta "mas abajo" o "afuera" del base_path por decirlo de alguno forma, eso solo se puede lograr empleando el nombre de directorio padre generico: ".." la funcion de xss que mencionas, protege de muchos caracteres, pero el "." justamente en particular, no es uno de ellos.

Voy a investigar todos los encodes posibles que hay para ese caracter y a agregarlos a la validacion ya que es algo que no se esta teniendo en cuenta.