Para os retardados sem noção entre nós que ainda não sabem como evitar o XSS, este é um tutorial sobre como evitá-lo. por favor, prepare-se para um longo post porque isso é muito difícil de corrigir
o que você quer fazer é usar uma função que está escondida muito profundamente na documentação do php e que é difícil de encontrar usando o google chamado "htmlspecialchars ()" agora o que você quer fazer é sempre que você ecoa algo, você passa os dados por essa função primeiro e depois você não tem xss.
um exemplo:
"
<?php
echo htmlspecialchars("<p>Uau, estou fazendo coisas assustadoras aqui</p>", ENT_QUOTES);
?>
"
ENT_QUOTES também é usado para substituir aspas simples.
agora, para facilitar para você, transforme-o em uma função
"
function safe_xss($text) {
return htmlspecialchars($text, ENT_QUOTES);
}
$safe = safe_xss($_GET["retardado"]);
echo $seguro;
?>
"
e agora você não tem mais desculpa para vulnerabilidades XSS. e eu sei que o exemplo que fiz não era xss, você pode ir sozinho.