Как обезопасить сайт от комментария пользователя с XSS, но при этом сохранить нужные теги (htmlspecialchars делает теги обычным текстом)?

HTML Purifier поможет вам

$config = HTMLPurifier_Config::createDefault();
$config->set('HTML.Allowed', 'p[style],span[style],em,b,strong,img[src],img[width],img[height]');
$sanitiser = new HTMLPurifier($config);
$text = $sanitiser->purify(filter_input(INPUT_POST, 'text'));

Вообще говоря, strip_tags позволяет оставить некоторые теги. Собственно оставляем набор типа "p", "a", "strong", "em", "br", а для пущей чистоты грузим сухой остаток как DOMDocument, пробегаемся по нодам и чистим атрибуты.
Ну или просто пробегаемся грузим как DOMDocument, пробегаемся по нодам и чистим лишние атрибуты, а лишние ноды удаляем. Работать должно побыстрее preg-replace.

В таком случае лучше смотреть в сторону bb-кодов.

В базе можете хранить со всем html-барахлом, а на выхлопе конечному пользователю прогнать через какой-нибудь preg-replace выкусив всю дрянь, которой быть не должно. Это если надо полностью сохранять форматирования коммента и отдавать такое же форматирование. Если нет — можно регулярками повыкусывать из текста всякое.