Hola Triby, para evitar los xss me quedo claro pero para limpiar el html no, ya que lo que quiero es permitir html y css osea todo lo que se puede clear en un texto enriquecido, yo probe asin:
$config = array('safe'=>1);
$limpiar=htmLawed($_POST['variable'],$config);

creo que esto deberia permitir todo el html y evitar los script pero no me funciona.
cuando envio los datos por post utilizo ajax y el la pagina php que es donde quiero limpiar la variable que paso por post que la hice de esa forma pero no me elimina los script, no se si esque el texto enriquecido ya lo anula o algo asin uso tinyMCE.

Saludos.