Алексей Тен alert() не срабатывает. Попробовал даже с /script> в конце в браузерах Opera 19.0 и Chrome 42.0.2311.135 m, но в console Сhrome были такие строки:
The XSS Auditor refused to execute a script in 'site.com/search?val=%22%3E%3Cscript%3Ealert%28docu...' because its source code was found within the request. The auditor was enabled as the server sent neither an 'X-XSS-Protection' nor 'Content-Security-Policy' header.
через placeholder cломать сайт не получиться!
а что бы не было XSS то просто фильтруйте переменные хоть по минимуму
strip_tags — убирает html теги.
htmlspecialchars — преобразует спец. символы в html сущности.
Так вы защитите себя от XSS атаки, помимо SQL инъекции.
Если же вам нужны html теги, но только как для вывода исходного кода, то достаточно использовать:
