!empty($var) - проверяет на непустоту! И ненадо лохматить бабушку. Если переменной $var не существует это спровоцирует Warning. Например, empty вернёт true когда переменная существует и она пуста - скажем строка (""), или целое число, но оно 0.

Имхо не имхо, но тот флаг, на который я тебе указал вынуждает обрабатывать и одинарные и двойные кавычки. По умолчанию обрабатываются только двойные кавычки. Теперь уверен что этого от xss достаточно? Скажем, если в коде атрибуты заключаются в одинарные кавычки?