XSS, где не фильтруется кавычка

Есть инпут поле типо поиска, при выполнении запроса выводится этот же инпут с value, введенный в запросе. Ввожу кавычку, всё ок, value становится пустым

Ввожу "> появляется слеш в value и выводится <" /> экранированными символами.
Если пробовать экранировать символы в decimal, то фильтр вовсе срабатывает и выводит в value экранированные символы, одинарная кавычка тоже не работает (фильтруется).

Попробовал я сделать запрос " onmousedown=alert(), вот, что выводит:

Code:

value="\" onmousedown="">

Если конвертировать в hex, то value тупо стирается и остается пустым
Если ввести "&#62 то выводится value="\" &#62"="">
Как быть, куда копать?