Adjunto aquì un gist, codigo de php para validar y dar sanitize siguiendo los estandares de OWASP para validar variables contra XSS y SQL Injection como se describen en

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

Hice estas rutinas hace unos siete años cuando empezaron las pruebas de php 5,2 y las sigio usando varios años despues.  Aqui Sigo la nomenclatura OWASP, y una version lite para los apostrofes, que uso por lo general solo para revisar los campos de nombre, sin usarloat java (ejemplo tìpico: o’really)

Son cuatro funciones:

paranoid_int($value);

paranoid_float($value);

paranoid_string($value);

lowparanoid_string($value);

==========================

https://gist.github.com/OjosAlertaAC/4c623987dce19e81614c