He leido, solo un poco y he visto que para ataques en hexadecimal han de usar el caracter %

y el array que uso en la funcion quitar es este

$nopermitidos = array("'",'\\','<','>',"\"",";","$","%","&","/","|","{","}","[","]","+","#","(",")");

no se si es suficiente para un ataque xss, ya que los hackers saben bastante mas que yo, y es que casi toda la buena informacion esta en ingles y eso es una asignatura pendiente para mi

Seguire leyendo sobre el tema
Gracias