html_escape()는 CI3 내장 함수로 htmlspecialchars($str, ENT_QUOTES, 'UTF-8')와 동일하게 동작해서 ", ', <, >, & 모두 처리해줍니다.

별도 라이브러리 로드 없이 바로 쓸 수 있어요.

<input type="text" class="input-data" value="<?php echo element('customer_message', $list_data); ?>">

<input type="text" class="input-data" value="<?= html_escape(element('customer_message', $list_data)) ?>">