M_script большое тебе спасибо за отзыв, я его перечитал наверное раз 10 и я понял следущее но не уверен что я правильно все понял.

1)Ты имеешь виду если собшение обычное без добавок html то надо написать

2)Если то что я написал в кавычках осталось в исходном коде то нашел xss , если заменилось то всеравно может быть xss , хоть в статье для новичков я читал что если кавычки заменились то это облом.

2.1) если в исходном коде пусто то проверить символы &lt и &gt

3)Потом в скрипте с алертом вместо <> вписать &lt , &gt , если скрипт напишется в сообщении значит есть xss , да он не выполняется но все же будут видеть то что я написал. И если вмето замененых кавычек появятся обычные значит пробовать вписать скрипт с обычными кавычками.

3.1) Если в скрипте фильтруются