To nezakážeš, HTML zdroják a další věci (JS, CSS, obrázky...) se dostávají na disk uživatele, aby si je mohl prohlédnout. Pakliže jsou na disku, uživatel s nimi může udělat cokoliv. Existuje pár otravných metod, jak odradit začátečníky nebo uživatele Toho Jediného Správného Prohlížeče, ale zbytečně tím ztrácíš na reputaci, protože např. někteří lidé často používají pravé tlačítko, aby si přešli na určitou adresu do nového okna apod.
Pokud se ptáš na PHP (nebo ASP, Python, Perl apod.) zdroják, tak ten je v bezpečí. Ten zůstává na serveru a uživateli se posílá pouze vygenerovaný výstup. Takže PHP zdroják je bezpečný, teda pokud se nestane něco se serverem, že by zapomněl jednou za čas PHP skripty zpracovávat (pravděpodonost prakticky nulová).