Checkmarx жалуется, что есть недействительные выходные данные БД. Как проверить вывод БД в целом?
Как правило, вы должны закодировать данные, которые вы отправили обратно клиенту. В зависимости от вашего кода, есть много решений.
См. https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.md