結論

• 基本
  • 小手先で変換するよりも、エスケープして出力しようね
• IEバッククオート対策
  • 属性値は引用符で囲もうね
• UTF-7対策
  • headでcharsetを明示しようね

ひろみちゅストーカーにとっては、当然のことだね！
ただ、スタイルシートやスクリプトを記述できるサイト（はてなDとか）だと、大変だろうと想像する。

tips

• Chromeのソースコード表示機能は、GETリクエストを投げ直してしまうので、POST結果を見たい場合にはつかえない。
  • Firefoxでは、現在見ているものを表示する。
• command-U(windowsはctrl-U)でソースコードの表示
• UTF-7は、HTML5対応ブラウザでは「サポートしてはならない」。
  • ChromeやFirefox4βでは、すでに対応していない
• IEは微妙な独自仕様がある
  • バッククオートを引用符としてあつかう
  • CSSにJavascriptを記述できるとか

お役立ち

• http://ha.ckers.org/xss.html
• エンコードマニアックス