Это XSS, одна из клиентских уязвимостей - теория здесь очень большая, статьей очень мало, и в них в основном рассматривается самый простой и не очень эффективный метод атаки - угон куков Экранирование кавычек в этом случае совершенно не имеет значения

Что-бы защитится здесь, нужно преобразовывать > и [B]

Я понимаю что ето хсс. Но я имею в виду можно ли произвести атаку какую либо например подставить '.eval(phpinfo()).' но кавычки заэкранируются. Есть выход?

атака только если на сайте живой админ можно ему заслать код который пароль сменит или куки тебе отошлёт

Прочитайте пожалуйсто внимательно 1 и 3 пост...

сам и прочитай свой первый пост я тебе написал что можно сделать включи мозг если тыква внутри не пустая

За мой счет сходишь к окулисту, ок?

лучше за мой счёт дырку в голове заделай

никакого исполнения кода там не может быть впринципе, php читает твою переменную "c" как строку, а не как исполняемый код, и это логично

Ну так мб site.ru/?c='.eval(phpinfo()).'