Adjunto aquì un gist, codigo de php para validar y dar sanitize siguiendo los estandares de OWASP para validar variables contra XSS y SQL Injection como se describen en
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
Hice estas rutinas hace unos siete años cuando empezaron las pruebas de php 5,2 y las sigio usando varios años despues. Aqui Sigo la nomenclatura OWASP, y una version lite para los apostrofes, que uso por lo general solo para revisar los campos de nombre, sin usarloat java (ejemplo tìpico: o’really)
Son cuatro funciones:
paranoid_int($value);
paranoid_float($value);
paranoid_string($value);
lowparanoid_string($value);
==========================
https://gist.github.com/OjosAlertaAC/4c623987dce19e81614c