Скажем, у нас есть эта форма, и возможная часть для пользователя, которая вводит вредоносный код, находится ниже
...
<input type=text name=username value=
<?php echo htmlspecialchars($_POST['username']); ?>>
...
Мы не можем просто поместить тег или javascript: alert(); вызов, потому что значение будет интерпретироваться как строка, а htmlspecialchars отфильтровывает <, > , ', ", поэтому мы не можем закрыть значение с помощью котировок.
Мы можем использовать String.fromCode(.....), чтобы обойти кавычки, но я все еще не могу получить простое окно предупреждения.
Любые идеи?