CGI-приложения на PHP с методами предотвращения атак XSS-нападения

Здравствуйте, беспокоит Вас студент группы ПС-08оз Панаётов Юрий. У меня возникли вопросы в процессе выполнения лабораторной работы №2, посвященной CGI-приложениям на PHP с методами предотвращения атак XSS-нападения.
1. На паре я сделал свой вариант преобразование кодировки текста из cp855 в альтернативную (cp866), через Ваш сервер (http://student.1024.info/panayotov/encoding_koi_win.html) данное приложение работает нормально, но когда я пробую запустить его через свой apache, выдается просто код на странице ( “ =128) $s[$i]=chr($kw[$c-128]); } return $s; } ” и т.д.), я помню, такая же ситуация была и с Вашим сервером, но потом Вы добавили какую-то возможность в свой сервер и все заработало. Подскажите, что мне нужно сделать, чтобы я мог запускать данное приложение у себя.
2. Что касается предотвращения XSS-нападения, то, на сколько я понял, это фильтрация введенной информации в поле для ввода текста. Посмотрел по примерам варианты XSS-нападений, попробовал в поле для ввода текста ввести: “

alert("Self-contained XSS");

”. По идее, это должно было вывести сообщение(я так понимаю, смысл XSS-нападения, это вставка вместо текста - код, который после обновления страницы должен ее портить...), но сообщение не выводилось, вместо этого текст менялся на: “

alert(\"Self-contained XSS\");

”. Т.е. добавлялись “\”, и из-за этого код превращался в обычный текст. Подскажите, пожалуйста, что я делаю не так или хотя бы напишите строчку кода, которая навредит моей странице.

С XSS-нападениями вроде разобрался, но все равно вопросы остались. Что касается запуска приложения на моей связке Apache+PHP+MySQL, то по вашему совету создал файл .htaccess с содержимым “AddHandler application/x-httpd-php .html”, но картины это не поменяло. Потом попробовал строку “AddHandler application/x-httpd-php .html” добавить в файл httpd.conf (настройки Apache). После перезапуска сервера форма отображается, но возникает другая проблема. В поле ввода текста отображается строка “<?= $data['s'] ?>”, при нажатии на кнопку, ничего не происходит. Я так понимаю, что данная строка не распознается как переменная, а распознается как текст. Попробовал сделать так “<?php= $data['s'] ?>”, и так “<%= $data['s'] %>”, но это не помогло. Наверное, что-то с настройкой php. Подскажите, пожалуйста, как с этой проблемой справиться.

После подстановки данного кода страница просто не подгружается, т.е. не отображается ничего, и в Opera не активна кнопка «остановить» и кнопка «обновить».