프론트엔드 프레임워크, 서버사이드 템플릿 엔진 등은 데이터로 렌더링할 수 있는 모든 내용에 일괄적으로 HTML 이스케이프를 적용하며, 명시적으로 이스케이프를 해제할 때에만 안전하지 않은 방식으로 출력을 생성합니다. PHP에는 그런 처리를 일괄적으로 적용할 수 있는 합의된 방법이 없습니다. echo나 print 문이 이스케이프를 기본 지원했다면 당장에는 동작하지 않는 코드가 속출했겠지만, 장기적으로는 많은 사람들이 이스케이프를 누락시키는 실수를 줄일 수 있었을 것입니다.
그리고 2024년 5월 현재까지도 워드프레스 코어 프로젝트에서 XSS가 패치되고 있는 것을 보면 온전히 PHP 문법 차원의 개선으로는 XSS를 막을 수 없는 것으로 보입니다.
프론트엔드 프레임워크, 서버사이드 템플릿 엔진 등은 데이터로 렌더링할 수 있는 모든 내용에 일괄적으로 HTML 이스케이프를 적용하며, 명시적으로 이스케이프를 해제할 때에만 안전하지 않은 방식으로 출력을 생성합니다. PHP에는 그런 처리를 일괄적으로 적용할 수 있는 합의된 방법이 없습니다. echo나 print 문이 이스케이프를 기본 지원했다면 당장에는 동작하지 않는 코드가 속출했겠지만, 장기적으로는 많은 사람들이 이스케이프를 누락시키는 실수를 줄일 수 있었을 것입니다.