la killXSS ha dell'ironico, per lo più che hai dimenticato il pericolo numero 1, l'iframe ... ma non è così che si risolvono i problemi di XSS, nemmeno tramite la migliore regexp

P.S. per la prima striptags andava più che bene ... la mia non è una critica distruttiva quanto una costruttiva, cerca di capire meglio cosa PHP offre già e come sia possibile fare XSS