Чтобы конкретно ответить на ваши вопросы ...
Нет, вам не нужно беспокоиться о том, что браузер выполняет PHP-код, введенный пользователем.Обычно это то, о чем вам следует беспокоиться, когда вы «включаете» в скрипты php, и даже тогда, если вы правильно их структурируете, вам не о чем беспокоиться.Это потому, что PHP интерпретируется на стороне сервера (на вашем веб-сервере), а не на стороне клиента (в браузере).Кроме того, этот тип атаки будет больше соответствовать RFI или внедрению кода (если вы хотите использовать некоторые термины в Google), а не XSS.
Stripslashes может быть полезен для определенных вещей (потенциально в отношениик атакам SQL и т. д.), но не является основной защитой для атак XSS.
Когда HTMLPurifier запущен сам по себе, вы будете противостоять атакам XSS (при условии, что вы правильно настроили его и т. Д.)пытаясь занести в черный список «плохие» символы / ввод.Какой тип данных вы хотите, чтобы пользователи могли вводить?Просто обычный текст?BBCode + текст?Html?