Есть форма
в форме инпут.
заполняем форму и в один из инпутов пишем <script>alert(1)</script>
вот прям тег и пишем
вместо алерта может быть совсем другой код ЖС
и вот смысл в том, что когда мы выводим значение инпута, код ЖС, какой записан в качестве значения поля, выполняется
и нам нужно обезопасить себя от таких умных пользователей