我如何防止XSS(跨站点脚本)只使用HTML和PHP?

关于这个主题，我已经看到了许多其他的帖子，但是我还没有找到一篇文章能够清楚而简洁地说明如何实际防止XSS。

是否存在一种万能函数，可以很好地为SQL注入和XSS攻击清除用户输入，同时仍然允许某些类型的HTML标记?