PythonでCGIを書く時、特にユーザーに入力させる文字列などを出力する際には、cgi.escape()を通さないと危険なのだけれど、とにかくこれが忘れがち。がーっ、と書いたあとで、書き忘れに気付いたりしたら最悪。結局全部読み直して、cgi.escape()を適切に追加していかないといけなくなります。

これの書き忘れをチェックする意味でも、全部のフィールド、あるいはデータベースの値に、

<script>alert("oops!");</script>

みたいなのを放り込んでおいたほうがよさそうです。