Programm mit Parameter aufrufen:
http://www.example.com/myprogram.php?agency="><script>alert("böser Code")</script>

'">' schließt das input-Tag, und schon steht '<script>alert("böser Code")</script>' im HTML-Code und das feindliche JavaScript wird ausgeführt.

Das ist doch nicht valide. Ein Black-Hat macht sowas vielleicht, aber ein White-Hat baut nur gültigen Code in seine Injections ein :p