Есть инпут поле типо поиска, при выполнении запроса выводится этот же инпут с value, введенный в запросе. Ввожу кавычку, всё ок, value становится пустым

Ввожу "> появляется слеш в value и выводится экранированными символами.

Если пробовать экранировать символы в decimal, то фильтр вовсе срабатывает и выводит в value экранированные символы, одинарная кавычка тоже не работает (фильтруется).

Попробовал я сделать запрос " onmousedown=alert(), вот, что выводит:

Если конвертировать в hex, то value тупо стирается и остается пустым

Если ввести "&#62 то выводится value="\" &#62"="">

Как быть, куда копать?