@@suit:

nuqneH

'">' schließt das input-Tag, und schon steht '<script>alert("böser Code")</script>' im HTML-Code und das feindliche JavaScript wird ausgeführt.

Das ist doch nicht valide. Ein Black-Hat macht sowas vielleicht, aber ein White-Hat baut nur gültigen Code in seine Injections ein :p

Die ganz üble Sorte nutzt HTML5. (Da isses doch valide.)

Qapla'