ПОдскажите по безопасности - Безопасность сайтов на Joomla

А как этот класс работает, он вырезает или экранирует вредоносный код?

Любой разрабатываемый компонент необходимо проверять на безопасность от атак.

Это естественно, просто родной класс JRequest уже берет на себя базовые аспекты работы с строками, так что нет смысла городить огород
О его использовании в статье как раз и написано

Если Вы хоть немного сильны в английском, то в статье ясно написано, что JRequest НЕДОСТАТОЧНО ДЛЯ ИСПОЛЬЗОВАНИЯ!
(JRequest is not enough by far!)

Most people just get data using JRequest::getVar()... But there are a whole bunch of other methods that exist which actually force type much better.  Here are some those methods:

$sql = 'UPDATE #__mytable SET `id` = ' . (int) $int;

$int = JRequest::getInt( $name, $default ); 

но если дочитать статью до конца то там написано что переменную нужно получать конкретным типом а не используя JRequest::getVar()

Most people just get data using JRequest::getVar()... But there are a whole bunch of other methods that exist which actually force type much better.  Here are some those methods: