XSS problém atributů a
strip_tags
echo Clear_Tags("<span onclick='alert(1)' style='color: red'><b>text</b></span>", "<span>");
Povolení značky
<span>
jí umožní i obsahovat nebezpečné HTML atributy.