徳丸さんがコメントで「SQLインジェクションでIFRAME要素やらSCRIPT要素書き込まれたとしても、それらが発動するためには（潜在的な）XSS脆弱性が必要」と書かれていたけど、CMSとかの場合必ずしもそうとは言えないような気もするなあ。ただこの考えはまだ深…