今も仕様が定まらず、とは言え、 名前の重複を避ける意味での登録。
XSSの脆弱性が存在します。
+ $alt = htmlspecialchars($alt);
対応しておきました。ソースを眺めると、なんでこんなという部分があって、色々と見直そうと思います。