Francamente di emoji, caratteri strani o inglese non è che mi interessi più di tanto.
La domanda è più modesta, ovvero
"con una funzione del genere sto sicuro sia per quanto riguarda injection che xss?"
Se la risposta è SI' allora per me va bene.
Di corsi di sicurezza PHP ne ho letti mille e sono davvero complicatissimi e difficilissimi da mettere in pratica, per una scelta che non capisco (quella di lasciar liberi di inserire qualsiasi cosa).
Forse come principiante PHP paradossalmente vedo le cose più "chiaramente".
Forse.