Есть ли универсальная функция, которая хорошо подходит для санитации пользовательского ввода с целью защиты от SQL-инъекций и атак XSS, при этом позволяя использовать определенные HTML-теги?

Возможно ли использовать межсайтовый скриптинг (XSS) в CSS-стилях? Например, если подключаемый файл стилей содержит вредоносный код, как это можно реализовать? Я понимаю, что можно использовать теги , но что насчет внешних таблиц стилей?