Wozu denn?

Wenn die HTML-Dokument auch über PHP erstellt werden, kann man darin auch ein <style>-Element direkt ausgeben

aber externe css-datei ist doch eleganter, oder?

• und ansonsten auch ein PHP-Script, welches eben diese Rule mit der font-size als CSS-Inhalt ausliefert, per <link> einbinden.

..wohin ausliefert?

bitte erkläre mir die xss-geschichte kurz:
heißt das, dass ich in einem php-script keine variable verwenden darf, ohne sie auf herz und nieren zu überprüfen? wo genau wäre in dem scriptbeispiel von mier die schwachstelle? bitte poste ein konkretes beispiel, welchen code ein user mitschicken könnte, um irgendwas damit anzustellen!