En büyük risk kullandığınız tüm formların içeriklerini çekebilirler yani burada doğrudan siteye değil de, siteyi kullanan kişiler hedefleniyor. Htmlspecialchars yada bir kaç fonksiyon daha var onlar ile engelleniyor daha detaylı bakmak için; https://www.argenova.com.tr/xss-cros...cripting-nedir