A discussão até agora tem sido sobre proteção contra SQL Injection e scripts persistentes entre sites. Parece que você está no caminho certo.

• O uso de instruções preparadas é uma "prática recomendada" para combater a injeção de SQL.
• htmlspecialchars() é um bom começo para evitar XSS, mas você tem que escapar dados no esquema de codificação apropriado para onde você está enviando os dados. OWASP tem uma página abrangente que discute isso:XSS (Cross Site Scripting) Prevention Cheat Planilha . A resposta curta:Certifique-se de estar usando "the escape syntax for the part of the HTML document you're putting untrusted data into. "