Fuente : http://www.debianhackers.net/prevenir-ataques-xss-e-inyecciones-de-codigo-y-sql-con-europiocode
:-*
Cuando se trata de filtrar parametros de fomularios o parametros que se esperan que sea numeros, fechas, url, etc uso la libreria Form_validation de Codeigniter..
https://github.com/EllisLab/CodeIgniter/blob/develop/system/libraries/Form_validation.php
Lista de filtros
https://github.com/lumoz/codeigniter-form-validation#public-functions-list
Tambien existe en el core de CI una libreria Security.. en una de sus funciones xss_clean aplica un filtro para prevenir codigo xss basado en una lista conocida..
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
https://github.com/EllisLab/CodeIgniter/blob/develop/system/core/Security.php#L312
Pero en el mismo comentario el autor explica que nada es 100% a prueba de tontos.. existe una libreria para filtrar html y remover codigo malicioso(xss) actulizada, configurable y la uso en mis proyectos.
http://htmlpurifier.org/
No e visto todo el codigo de esa libreria o testeado pero la autora asegura un 100% de codigo invulnerable lo que me genera cierta desconfianza..