Si están vacíos, entonces son null O posiblemente estén con un espacio, ¿Has comprobado eso?.

Un XSS es un ataque Cross-Site Scripting que se genera en el cliente burlando la seguridad de JavaScript, bien sea desactivandolo en el navegador o alterando ciertas funciones del programa a través de una consola o la URL.

Si por ejemplo tienes un formulario con un name="formulario" y lo validas con Javascript, basta con escribir javascript:document.formulario.submit() en la url del navegador para evitar la validación y así generar también una inyección SQL o un script que se grabe en la bd capaz de instalarse en la página víctima que es la que genera la impresión de código.

NO DIGO QUE SEA ESO, es solo una posibilidad, de todas formas verifica que estés validando los datos correctamente y haz varias pruebas.

Un saludo