Xss açıklarını kapatmak için giren herşeyi filtreden geçirmen lazım.
Post ile ve Get ile gelen herşeyi bir veya birkaç filtreden geçirmen gerekir. htmlspecialchars veya htmlentities ile xss açıklarını kapatabilirsin ve addslashes ile de mysql injectionların %90 ınını bertaraf edebilirsin.