M_Script,спасибо за пример.

Конечно не следует воспринимаемость буквально и ВСЕГДА делать именно так.

3. Пункт может быть полезен тогда, когда ведутся логи SQL-запросов (например на уровне приложения).

2. Смешно, кода выкладывают XSS-ки с alert('xss');. Если сайтом занимаются - уязвимость через пару дней исчезает обязательно.