私がよく使う方法なんですが、この方法を利用するとXSSの脆弱性を限りなくなくすことが出来ます。

対応方法は、PHPファイルの最初に以下のコードを挿入するだけ。

foreach($_GET as $key => $value){
	$_GET[$key] = htmlspecialchars(htmlspecialchars_decode($value,ENT_QUOTES),ENT_QUOTES);
}
foreach($_POST as $key => $value){
	$_POST[$key] = htmlspecialchars(htmlspecialchars_decode($value,ENT_QUOTES),ENT_QUOTES);
}

これで自動的にエスケープの処理を行ってくれます。

通常のXSS対策がエスケープしたくない場所以外はhtmlspecialcharsを利用してでエスケープを行うのに対して、このコードを入れることによりエスケープしたくない場所にhtmlspecialchars_decodeを利用するといった全く逆のアプローチになります。

XSSの脆弱性を限りなくなくす方法 - to-R

私は普段ほとんどPHP使うことは無いから間違ってるかもしれないけど、これはあれだよね、入力時にエスケープしちゃう間違い。

というか、最近よく見かけるえがちゃんって人がこの記事のはてブで

2008年10月24日 hiroyukiegami これはえがい みんなかなりこれ使いやすいよ

とコメント付けてるけど、もしかしてえがちゃんを釣るための餌だった？　まぁどっちでもいいけど、

「出力時にエスケープする」っていうのが定石らしいよ。
でもエガミくんのやろうとしたのは「入力時のエスケープ」だね。

http://anond.hatelabo.jp/20081020045037

ってせっかく教えてもらったのにね。なんでそうするのか理解しないとまた同じことの繰り返しだお >id:hiroyukiegami