باختصار ، انت تريد التأكد من خلو اسم المستخدم من اي رموز غريبة .. او ما الى ذلك ..
كود PHP:
$username = mysql_escape_string($_POST['username']);
هذه تقوم بتهريب اي رموز غريبة ..
يتبقى لديك التهريب من اوامر الشل ( للي فاهمين على حد قولك ) وحينها تستخدم :
كود PHP:
escapeshellarg($username);
وبهذا تكون تخلصت في النقطة الاولى من اية خطورة من جهة ال xss ، وفي الثانية من الشل ..
واحببت اضافة ان اغلب السيرفرات تكون معدة لتهريب التكست ذاتيا من خلال magic quotes
تحياتي