ilki güzelmiş. xss içinde script kelimesini document. kelimesini falan eregi replace ile anlamsız şeylere çevirebilirsin. bunun yanında captcha, token gibi şeyler kullanabilirsin. hatta giriş formları için küçük bir koruyucu kod,

$_SESSION[deneme]=$_SESSION[deneme]+1
sleep($_SESSION[deneme]);

bu kodla her giriş denemesinde kullanıcı 1 sn fazla bekletilir. böylece ardı sıra denemeler zorlaştırılır.