Lo normal es que tu sitio no sera vulnerable a XSS...

Filtrar las variables es para evitar que alguien intente enviar código malicioso a través de formularios (o por get).

Yo además, para evitar el robo de sesiones, registro la IP de acceso y si en algun momento cambia, destruyo la sesión.