Можно фильтровать контент через strip_tags со списком разрешенных тегов (но это не даст 100% гарантии).
Вообще XSS довольно таки сложная тема, и лучше стараться избегать использования чистого HTML где бы то нибыло...
Лучше использовать редакторы с поддержкой BB-кода или тот же Markdown.
Так на php без костылей никак. Вроде там можно указать что бы создавалась постоянное соединение. Точнее при срабатывание скрипта будет происходит проверка и если соединение уже есть то будет оно же и использоваться.