Можно создать дубликат:
What are the best practices for avoiding xss attacks in a PHP siteЭтого достаточно, чтобы защитить меня от XSS?
Этого достаточно, чтобы защитить меня от XSS
$title = preg_replace('/<[^>]*>/', '', $titleGet);
Я использую это перед вставкой в БД
Нет, и вместо этого вы можете использовать ['strip_tags'] (http://php.net/strip_tags). Который также не обрабатывает все случаи XSS, просто говоря, так что нет. Без какого-либо контекста абсолютный безопасный способ предотвратить XSS - это запретить ввод, если вы ищете глобальный способ делать вещи. – hakre
Произвольное отбрасывание бит ввода редко является хорошим решением любой проблемы XSS. – Quentin
Вы должны исследовать подготовленные заявления и заполнители. Внедрение пользовательских данных непосредственно в ваши SQL-операторы - это неправильный способ сделать это. –