防止惡意代碼注入XSS(cross site scripting)

Login.PHP頁面
<!DOCTYPE html>
<html>
<head>
<title>登錄頁面</title>
<meta http-equiv="content-type" content="text/html;charset=utf-8"/>
</head>
<body>
<form action="LoginController.php" method="post">
<table>
<tr><td>用戶名</td><td><input type="text" name="username"/></td></tr>
<tr><td>密&nbsp;&nbsp;碼</td><td><input type="password" name="password"/></td></tr>
<tr><td><input type="submit" value="submit"/></td><td><input type="reset" value="reset"/></td></tr>
</table>
</form>
</body>
</html>


LoginController.PHP頁面
<!DOCTYPE html>
<html>
<head>
<title>登錄驗(yàn)證</title>
<meta http-equiv="content-type" content="text/html;charset=utf-8"/>
</head>
<body>
<?php 
//接收用戶提交的用戶名和密碼(login.php頁面提交的參數(shù))
$username=$_REQUEST['username'];
$password=$_REQUEST['password'];
//到數(shù)據(jù)庫驗(yàn)證,怎樣寫出安全的代碼，防止其它用戶***
//1.連接數(shù)據(jù)庫
$link=mysql_connect("localhost","root","root");
if(!$link){
    die("連接數(shù)據(jù)庫失敗".mysql_error());
}
//2.選擇數(shù)據(jù)庫
mysql_select_db("test") or die("選擇數(shù)據(jù)庫有誤".mysql_error());
//3.構(gòu)建SQL語句,并查詢
//使用PDO的方式來防止SQL注入
$query="select * from users where username=? and password=? ";
//1.創(chuàng)建一個(gè)PDO對象
$myPdo=new PDO("mysql:host=localhost;port=3306;dbname=test","root","root");
//2.設(shè)置字符編碼
$myPdo->exec("set name utf8");
//3.預(yù)處理$query
$pdoStatement=$myPdo->prepare($query);
//4.把接收到的用戶和密碼填入
$pdoStatement->execute(array($username,$password));
//5.取出結(jié)果
$res=$pdoStatement->fetch();
if(empty($res)){
    echo "failed|<a href='Login.php'>try to login</a>";
}else{
    header("Location:ManageUsers.php");
}
?>
</body>
</html>


ManageUsers.PHP頁面
<!DOCTYPE html>
<html>
<head>
<title>登錄驗(yàn)證</title>
<meta http-equiv="content-type" content="text/html;charset=utf-8"/>
</head>
<body>
YOU SUCCEED!
</body>
</html>