Mantığı anladım özellikle test edip db deki karşılıkları görünce çok daha iyi anladım.

Formu kullanan orada belirtilen kodlardan birini yazarsa otomatik olarak onları kodlara dönüştürüyor veya yok sayıyor.

İşin temelini yakaladım bu kodlarla.

Sadece anlamadığım tarafı
$q = htmlspecialchars(stripslashes($q));
$q = htmlentities(strip_tags($q));

satırları. Anlamadım derken kodları biraz araştırdım, saldıranın ne şekilde saldırdığını bilmediğimden test yapıp sonuç göremedim. o tarafım biraz eksik kaldı ama hırsıza kilit dayanmaz şu an anladım ve yapabildiğim şekliyle kilitledim dayının biri çıkar patlatırsada tebrik ederiz yedeklerden siteyi yine yükleriz