hi,

In PHP gibt es ja htmlspecialchars(), aber reicht das aus, um XSS auszuschließen?

Überlege dir, wodurch XSS möglich ist.
Bewerte dann, ob die genannte Funktion alle diese Fälle abdeckt.

Und wie gehe ich am besten gegen SQL-Injection vor?

Das beste Vorgehen bezüglich eines bereits derart oft besprochenen Themas hört auf den Namen STFW.

gruß,
wahsaga