最後にひとつ確認したいことがあります。
XSS脆弱性チェックをしているのですが、

$str = "<br><b>てすと";←タグなどを含んだ値を格納
<input type="text" name="text" value="<?php echo $str;?>">

これからXSSの実験をしているのですが確認できませんでした。
たまたま実験数が少ないだけかもしれませんが、
inputないに文字列をテキスト表示したからといって信頼できるのでしょうか?