La función que comentas fallaría para este caso (puedes encontrar mas casos en
http://ha.ckers.org/xss.html):
$url = sacarXss("javas
cript:alert('XSS');")
//...
echo '<a href="' . $url . '">Enlace</a>';
nota: el mensaje xss solo se muestra en IE