Поля InputObjectType из модели

Используйте htmlspecialchars на PHP. В HTML старайтесь избегать использования:

element.innerHTML = “…”; element.outerHTML = “…”; document.write(…); document.writeln(…);

, где var - , управляемый пользователем .

Также, очевидно, избегайте eval(var), если вам нужно использовать любой из них, тогда попробуйте JS, избегая их, HTML уберет их, и вам, возможно, придется сделать еще кое-что, но для основ этого должно быть достаточно.