CodeIgniter での XSS 対策については、いろいろ議論があるはずですが、あまり公開された日本語の情報はありません。 CodeIgniter には XSS フィルタリング機能が標準で用意されていますが、これは本質的にブラックリストでありフィルタリング漏れが生じる可能性が残ります。また、実際、過去に脆弱性が指摘されており、CodeIgniter 2.0.1 以前の XSS フィルタにも脆弱性があることが知られています。 また、ビューでの出力時に変数の値をデフォルトですべて文字参照にエスケープするという機能はありません。この機能はあるといいと思いますが、どう実装すべきかがそんなに簡単ではないように思われます。 以下の記事に、デフォルトエスケープの実装がみられますが、少々、独特過ぎる感じがします。 http://d.hatena.ne.jp/uratch/20100120/126395