Şöyle hocam, herhangi bir inputa html veya script kodu yazınca veri tabanına kayıt oluyor ve front-end'e de yansıyor.

Örnekteki gibi. $_POST["username"] bu şekilde salt değil de htmlspecialchars($_POST["username"] ); şeklinde yazarsanız bu açığı engelleyecektir.