Достаточно ли этой функции для обнаружения xss?

Нет, я бы не использовал его. Существует множество различных атак, все они зависят от контекста, в который вставляются данные. Одна-единственная функция не может покрыть их все. Если присмотреться, то на самом деле тестов всего четыре:

// Set the patterns we'll test against
$patterns = array(
    // Match any attribute starting with "on" or xmlns
    '#(<[^>]+[\x00-\x20\"\'\/])(on|xmlns)[^>]*>?#iUu',

    // Match javascript:, livescript:, vbscript: and mocha: protocols
    '!((java|live|vb)script|mocha):(\w)*!iUu',
    '#-moz-binding[\x00-\x20]*:#u',

    // Match style attributes
    '#(<[^>]+[\x00-\x20\"\'\/])style=[^>]*>?#iUu',

    // Match unneeded tags
    '#</*(applet|meta|xml|blink|link|style|script|embed|object|iframe|frame|frameset|ilayer|layer|bgsound|title|base)[^>]*>?#i'
);

Больше ничего не тестируется. Помимо атак, которые эти тесты не обнаруживают (ложноотрицательные), он также может ошибочно сообщать о некоторых входных данных как об атаке (ложноположительные).

Поэтому вместо того, чтобы пытаться обнаруживать XSS-атаки, просто используйте надлежащую очистку.

Я думаю, что он хорошо справляется с тестированием строк, по крайней мере, это то, что я могу сказать по своим тестам.