گرچه اینجا فروم شبکه هست و سوالی که شما پرسیدید مربوط به web application security هست
همونطور که میدونید xss در زمانی رخ میده کا کاربر به شکلی وردی خودش رو روی مرورگر وب شخص قربانی اجرا میکنه و بستگی به نوع ورودی داره مثلا اگه ورودی فقط قراره عدد باشه توی php میشه از این تابع استفاده کرد
کد:
$secure_integer=(int)$input
ولی اگه ورودی شما عدد و کاراکتر هست باید ورودی هایی مثل :
رو فیلتر کنید یا اینکه یه فانکشن بنویسید و به وسیله اون چک کنید که اگه کاراکتر های مجاز a-z یا ... توش هست یا نه و کاراکتری غیر از اون هایی که شما تعین کردید توی ورودی بود سیستم IDS تشخیص بده و ...