「XSSフィルタリング」の内容が不明なのですが、HTMLタグを取り除くという意味でしょうか? その場合、アプリケーションの仕様により、二通りの考え方があります。 まず、「XSS可能なタグや属性は取り除くが無害なタグは取り除かない」という仕様の場合です。フィルタリングの結果「<s>安全</s>」という文字列ができたとします。この文字列には危険性はありません。 画面に「<s>安全</s>」と表示したい場合は、htmlspecialcharsを通してHTMLエスケープする必要があります。一方、「安全」という文字列に打ち消し線を引きたい場合は、htmlspecialchars関数は使えません。そのまま表示する必要があります。しかし、*常識敵に考えて* タグの一部を残すからには、タグの機能を使いたい場合でしょう。すなわち、htmlspecialcharsを通さないで、打ち消し線にするという仕様が一般