Absinthe
жожо
Жаль, что нет кнопки "Мне не нравится"...
От SQL-inj защищаться не нужно впринципе - ее и так не будет, она появляется только при незнании синтаксиса SQL.
От XSS в общем случае спастись ОЧЕНЬ трудно, но в простом случае "текст как html" достаточно элементарного экранирования через htmlspecialchars.