Tu función no es correcta, tal vez pueda evitar inyecciones en cierta medida, pero no funcionará como esperas, imagina que alguien escribe en inglés:
Cita: I'm from Mexico and I want to know where are you from
Vas a eliminar las palabras marcadas en negrillas y no se trata realmente de un ataque.
Es mucho mejor la función que compartió
GatorV en:
http://www.forosdelweb.com/f18/aport...ar-xss-948577/
Y, para evitar inyección SQL, aquí hay algunas sugerencias:
http://www.forosdelweb.com/f18/aport...8/#post4265377