исправил!

хотя по сути этот xss все равно был не опасен, так как дальше админки не пройдет и в самой админке не сработает. при модерации текст отображается без предварительного просмотра сразу в текстовом поле пройдя предварительную обработку htmlspecialchars($text, , ENT_QUOTES)