Gracias Trybi tendre en cuenta lo de las comillas dobles, cuando digo que se desarma el value me refiero que si miro el firebug sale algo asin:

<input type='hidden' contentido del texto alert('xss');value=mas codigo' />

esto es lo que sale cuando digo que se desarma el value, como lo puedo solucionar