O ataque de Cross-Site Scripting (XSS) acontece quando um invasor injeta tags de script maliciosas dentro de um formulário ou comentário e o seu sistema imprime esse texto na tela para outros usuários sem nenhuma filtragem.
1. Sanitização na Saída dos Dados
Nunca confie no que está guardado no seu banco de dados. Sempre neutralize qualquer string de texto dinâmico antes de renderizá-la dentro do HTML da página pública.
<p><?= htmlspecialchars($usuario['comentario'], ENT_QUOTES, 'UTF-8') ?></p>
Parâmetro Vital:
O uso do argumento
ENT_QUOTES é indispensável, pois ele converte tanto aspas duplas quanto aspas simples em entidades HTML estáveis, fechando brechas dentro de atributos.