Mettez cette fonction en début de code et cela devrait vous protéger un minimum
// FILTERING VALUES FROM USER, PREVENTING XSS INJECTIONS
if(!empty($_POST)) {
function filter_xss(&$value) {
if(is_array($value)) {
array_walk_recursive($value, "filter_xss");
} else {
$value = htmlspecialchars(strip_tags($value));
}
}
array_walk_recursive($_POST, "filter_xss");
}