вопрос но XSS
немогу суть уловить. Вот говорят мол если фильтруються некоторые символы, то можно ппробывать использовать их десятичные или 16-ные коды.
Я понимаю что пожно для поссивных XSS, в браузерной строке вместо " вбить %22 и оно сработает как кавычка. А при активных ? при замене " на &#34 или &#x22; нехрена непомогает, притом <тег> ... </тег> должны быть 100% написаны в авном виде без кодов., да и если в нуть скрипта пихнуть че, например alert заменить на его коды то нехрена оно несработает.
Где я неправ ??? поправте.