Защитить свой сайт от возможности эксплуатации XSS атаки достаточно просто. Для этого следует фильтровать входные и выходные данные путем экранирования символов и преобразования спецсимволов в HTML-сущности.
входные
То чувство, когда иксперт по безопасности находится с той же стороны дна что и подавляющая часть PHPшников.
Да весь интеренет превратился в какое-то днище. Завален бесполезными корпоративными хомячками и другими поделками на php, которые только сжигают ваты и ничего не дают никому. Недавно попробовали релизовать магазин на Битриксе с нестандартным расчетом цен с несколькими зависимостями, так оказалось, что придется всю CMS перетряхнуть и переписать многое. И это не только в Битриксе. Проще с нуля написать что-то достойное, быстрое и рабочее. А секретарши могут новости свои добавлять и через Wix какой-нибудь. В общем надо срочно что-то менять в этой жизни)))