Cita: Que tan recomendado es tener el php que procesa el formulario dentro del mismo html?
Malo, muy malo.
La regla de oro es: divide y vencerás.
Cita: aun utilizando htmlspecialchars para escapar de caracteres especiales, si se podria evitar ataques xss ?
Creo que no tienes muy claro lo que es un ataque de XSS.
¿Qué es lo que entiendes por XSS y por qué crees que usar htmlspecialchars() lo soluciona?