Это зависит также от того, что вы делаете с вводом.Вот упрощенный пример, который я нашел на реальном веб-сайте службы поздравительных открыток:
Он содержал поле выбора, с помощью которого вы могли выбрать цвет текста:
<select name="color">
<option value="red">Red</option>
<option value="green">Green</option>
<option value="blue">Blue</option>
</select>
Значение было использовано без фильтра на странице поздравительной открытки.Таким образом, легко подделать отправленные данные POST и изменить
color=red
на что-то вроде
color=red%22+onload%3D%22alert(%27foo%27)
, что приведет к
<font color="red" onload="alert('foo')">
вместо <font color="red">.
Таким образом, точка никогда не доверяет никаким вводам пользователя, даже предопределенным значениям, которые вы определяете.