主にサーバーサイドの話でしょう 例えば簡易掲示板で、名前をクリックすると本文がalertされるものを作ったとします そこで alert("内容") とすると 内容が 「"+(function(){code})()+"」だと aler("t"+(function(){code})()+"") となって任意のコードを埋め込まれてしまうということです 本人が書き込んだ内容を本人のみに適応する場合はいいですが 第三者も見えるHTMLコードになる場合は気をつけてください

ものすごく単純化しますが、 ・script 要素生成テンプレート： <script>alert('あなたの名前は$nameです。');</script> ・利用者から入力されたデータ(1)： $name = "太郎" → <script>alert('あなたの名前は太郎です。');</script> ・利用者から入力されたデータ(2)： $name = "');var s=document.cookie;('" → <script>alert('あなたの名前は');var s=document.cookie;('です。');</script> ・利用者から入力されたデータ(3)： $name = "')</script><p>おはよう</p>" → <script>alert('あなたの名前は')</script><p>おはよう</p>です。');</script> (2) のようにして Cookie にアクセスできました。もちろん、このままでは Cookie 制限により他のドメインに紐付けられたデータを見ることはできませんが、危険であることに変わりありません。また、(3) は勝手に script 要素を終わらせ、任意の文字列を出力させています。 この場合、$name を「HTML の script 要素内に埋め込まれる JavaScript に適した形」にエスケープする必要がありました。結構、ややこしい話なのですよ。例えば、script 要素内で "</script>" をどうやってエスケープしますか？ 他の "</p>" のようなタグは？ あるいは、今回は幸い(?) JavaScript の文字列への出力なので比較的楽なのですが、では文字列の形式を崩さないようにするには？ そういう文法知識が曖昧なら、やらない方が無難です。まあ、上記のような名前程度なら、入力段階で "=" のような「名前に不適な文字」を刎ねてしまっても構いませんが。 そもそも論として、スクリプト云々に関係なく、データを出力する際は必ず「出力する文脈に合わせて」データをエスケープしなければなりません。データ入力時点の「サニタイズ」で事が済むと思っている人が今でも多いですが、間違いです。