Дезинфекция. Что выбрать вместо sanitize_text_field

В админке get-параметр my_var (в нормальном состоянии состоит из букв и цифр) оказался уязвим к атакам типа Reflected Cross-Site Scripting

Т.е если вместо вызова

https://site.ru/admin.php?page=post&my_var=1st

сделать вызов типа:

https://site.ru/admin.php?page=post&my_var=»»+style%3Danimation-name%3Arotation+onanimationstart%3Dalert%281%29+x

То сработает alert

Сейчас в коде дизенфекцию выполняю так:

sanitize_text_field( $_GET['my_var'] ); 

Подскажите, чем заменить, чтобы защититься от такой бяки и не поломать выходные данные?

Пробовал

esc_url( $_GET['my_var'] ); 

но тогда в нормальных условиях значение переменной вместо 1st становится https://1st т.е функция esc_url после обработки добавляет протокол к значению переменой.