Salut,
Pour tout ce qui est injection SQL, je te conseille simplement de passer par des requetes préparées.
Ensuite, si t'as peur du XSS, en effet un bon coup de htmlspecialchars (ou htmlentities, je sais plus son nom) devrait faire l'affaire.
Quoi qu'il en soit, pas besoin de chainer les 2 comme tu l'as fait.
---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait