Уважаемые, поделитесь ссылками, информацией как защититься от xss. Похоже неправильно ищу или не то в поиске забиваю.

bagos, правильным образом экранировать данные. В зависимости от контекста.

http://zhilinsky.ru/2008/05/08/anti-xss-script/

Благодарю за ответы, по инфе что находил в инете, понял так что одного экранирования символов не достаточно.
Вот поэтому пришел сюда с вопросами.

Добавлено через 9 минут и 31 секунду
Вы хотите сказать что функций htmlspecialchars,htmlentities,stripslashes,mysql_real_escape_string  будет достаточно?

 Никогда не читайте статьи, где глупый автор рекомендует писать гoвнокод. Это одна из них.
Таких отличить просто: они думают, что умнее, чем разработчики PHP, и могут "изобрести волшебную функцию, делающую все включая минет".
Никогда такой функции "защитить от уязвимостей" не будет. Не возможно. Точка.

А, все что надо, для защиты(кроме безопасного пользовательского html) он перечислил во вступлении. Вот только ума ему не хватило вывод сделать :(

 НЕТ!


Итак. 
stripslashes,mysql_real_escape_string и т.д. не трогай. Они никаким образом не защитят от XSS.

3 самых частых контекста:

1) использование пользовательского текста.
htmlspecialchars, но это сделает за тебя шаблонизатор.

2) использование html, введенного пользователем
Использование соответствующей библиотеки типа jevix или htmlpurifier. Ни в коем случае не писать свое.

3) bb-коды.
Сначала стоит подумать, нужно ли их использовать. И можно ли свести к пункту 2.

Absinthe, какие в этом конкретном примере могут быть XSS?

$дмитрий, я бы еще указал второй параметр

MoLeX, он по умолчанию для двойных кавычек.

да, что-то мне показалась одинарная кавычка)

Спасибо за ответы, данный вопрос у меня встал когда потребовалось реализовать поддержку пользователей на сайте и возможность комментирования ими новостей и статей, затем изменение пользователями своих персональных данных. Какое оптимальное решение выбрать для моих задач?

bagos, я же четко написал: