清理用户名

$user = sanitize_user("attacker username<script>console.log(document.cookie)</script>");

sanitize 后的$ user 值是攻击者用户名