ASP.NET MVC proporciona protección predeterminada contra las secuencias de comandos entre sitios. Solo me pregunto si los marcos de PHP hacen lo mismo?
Le recomiendo las siguientes conferencias para más información:
Desarrollo seguro de aplicaciones con marco Zend
Lea otras preguntas en las etiquetas xss php