А вот и нет.

'Всем привет :"->' - это здесь совсем не нужно. Закрытие тега и двойная кавычка для XSS не требуется. Пример (в конце пробел):

[PHP]
[COLOR="#000000"][COLOR="#007700"]", поэтому даже если ":'-". Независимо от наличия XSS, этот текст подозрений не вызовет.

Не менее часто разработчики допускают серьезную ошибку, не зацикливая "", вследствие чего "script>alert(xss)" после фильтра превращается в "alert(xss)" и код выполняется.

Мой вариант:

Текст 1: "пошли вы все на" - если прошло, больше проверок не нужно (XSS есть). если не прошло, используем текст 2.

Текст 2: "В 5-ом пункте ссылка битая :-o>любой текст" - в любом случае на странице отобразится только "любой текст", независимо от наличия XSS, и никто ничего не заметит.