Имхо самая простая защита от sql это Если переменная строковая, то просто убрать все виды кавычек.

От XSS думаю htmlspecialchars(); спасет, хотя иногда лучьше ereg()