Используйте htmlspecialchars
на PHP
. В HTML старайтесь избегать использования:
element.innerHTML = “…”;
element.outerHTML = “…”;
document.write(…);
document.writeln(…);
, где var
- , управляемый пользователем .
Также, очевидно, избегайте eval(var)
, если вам нужно использовать любой из них, тогда попробуйте JS, избегая их, HTML уберет их, и вам, возможно, придется сделать еще кое-что, но для основ этого должно быть достаточно.