XSSというより、" を入力したらおかしくなるとの指摘です。

タグの間に、value="" が、value=""" になって、表示がおかしくなることが確認できましたので、

""ですか・・・・。チェック漏れてました。
phpコードやjavascriptはチェックしたのですが、すみません。

コードに関してですが標準のフォームブロックは
view側でstripslashes(htmlspecialchars($val))で処理してます。
エラーメッセージがでる設定ですが標準に合わす形で処理されてはどうでしょうか？

エラーチェックは、もともとcontrollerのあの付近にあったので、追加する形で今に至っています。
viewで処理するということは、エラーチェックを全部viewに移すということでしょうか？

標準のフォームブロックでは特殊文字はエラー処理ではなく、エスケープ処理しています。ですのでエスケープしたほうがいいと思ったのですがそれも問題があることが分かりましたので撤回します。すみません。