SQLインジェクションよりかは、話題になることが少ないクロスサイトスクリプティング。通称XSS。
とはいえ、狙われて被害が発生すると、大きな損害になることもあるので、対策はしっかりしましょうという話。

■そもそも何が起こるか?

cookieの内容がパクられちゃう。
→セッションIDやら、ログインIDやら、パスワードなど、cookieに保存されているものが盗まれる。

ページの内容を書き換えられちゃう。
→偽のログイン画面を作られてしまい、結果、ログインIDやパスワードなど、個人情報が盗まれる。
※ドメインは正常(以下の例だと、ohsexybaby.com)だから、気づき難い。

■具体例

(1)ユーザーが、不審なメールなどから、悪意のあるサイトを閲覧する
(2)悪意のあるスクリプトが、そのサイトから、ohsexybaby.comに転送される
※この時点では効果は発揮しない
(3)ohsexybaby.comを介して、ユーザーのブラウザに送られる
※ここで悪意のあるスクリプトの効果が発揮される
(4)cookieが盗まれたり、ページの内容を書き換えられたりする

■対処の仕方

サニタイジングをし、スクリプトを無効にする。
つまり、入力データから危険な文字を検出して、置換・除去をする。
危険な文字とは具体的に、
&とか、<とか、>とか、”とか、’とか。

アプリケーションの規模によりけりですが、そこまで対応コストがかかるわけではないので、
きっちり対策をしておきましょう。