Hola, estaba implementando en primer lugar la seguridad ante ataques de xss... y queria saber mas para poder bloquear la inseguridad de mi web

Hay alguna manera de que el xss se infiltre en un formulario de logeo con sesiones? o tambien cuando paso variables con url? y como solucionarlo o al menos reducir ese ataque?

Comencé poniendole htmlspecialchars a los datos que mando por POST , al menos con esto evito de que me pongan metatags. Pero lei en un blog que estos pueden ser anulados con html no estandar... que quiere decir esto? creo que es en el caso de URLs.

bueno espero algun comentario para poder seguirlo... saludos