La mia domanda non è proprio relativa al linguaggio.
Avendo letto degli attacchi XSS volevo sapere cosa potrebbe mai fare del codice js inserito. Ho visto che è necessario controllare tutti i dati in input e filtrarli prima di memorizzarli su DB, ma se js non può provocare danni all'applicazione che senso ha bloccarlo?

Ora che ci penso forse la sezione più adatta dove postare era PHP.