A PHP-ben volt korábban (bután megvalósított) automatikus SQL injection védelem a magic_quotes_gpc formájában. Nem is vált be. Ugyanígy nem lehet automatikusan védekezni az XSS ellen sem. A megoldás szerintem az, ha egyszerű módszereket készítünk elő magunknak az XSS elleni védekezésre. Az, hogy a PHP-ben például htmlspecialchars() az XSS elleni egyik kulcsfüggvény nem sokat segít a fejlesztőknek (sokat kell gépelni :). Én hsc() néven szoktam használni egy burkolófüggvénybe rakva, de jobb eszköztámogatást is lehet köré építeni.
nem lehet automatikusan védeni