Şahsen ben pdo ve htmlspecialchars kullanıyorum. Hiç sitede açık olmadı.
Not: dışardan gelen istekler hariç. Onun için ayrı koruma yazıyorum.