要避免跨站漏洞（XSS），可以采取以下措施：

1. 過濾和轉義特殊字符：在輸出到頁面的變量中，對特殊字符（如 <、>、&、" 和 '）進行轉義。這可以防止瀏覽器將它們解釋為HTML或JavaScript代碼。

echo htmlspecialchars($variable, ENT_QUOTES, 'UTF-8');

2. 使用預pared語句和參數化查詢：當使用數據庫時，使用預prepared語句和參數化查詢可以防止SQL注入攻擊，從而降低XSS的風險。

// 使用PDO
$stmt = $pdo->prepare('INSERT INTO users (username, password) VALUES (:username, :password)');
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->execute();

// 使用MySQLi
$stmt = $mysqli->prepare('INSERT INTO users (username, password) VALUES (?, ?)');
$stmt->bind_param('ss', $username, $password);
$stmt->execute();

3. 設置HTTP頭部：設置合適的HTTP頭部可以防止瀏覽器解析頁面為JavaScript。

header('Content-Security-Policy: default-src \'self\'; script-src \'self\' https://trustedscripts.example.com; img-src \'self\'');

4. 使用內容安全策略（CSP）：CSP是一種安全特性，可以限制瀏覽器加載和執行外部資源，如腳本、樣式表和圖片。

header('Content-Security-Policy: default-src \'self\'; script-src \'self\' https://trustedscripts.example.com; img-src \'self\'');

5. 避免使用eval()和exec()：這兩個函數可以執行動態生成的代碼，可能導致安全漏洞。盡量避免使用它們，或者在使用時嚴格審查輸入。

6. 使用安全的會話管理：確保會話ID是隨機生成的，且在用戶登錄后定期更新。同時，設置會話超時，以防止會話劫持。

7. 對用戶輸入進行驗證和過濾：始終驗證和過濾用戶提交的數據，確保它們符合預期的格式。可以使用PHP內置的過濾函數，如filter_var()。

8. 使用最新的PHP版本：新版本的PHP通常包含更多的安全特性和修復。確保使用最新的PHP版本，以便獲得最佳的安全保護。

遵循以上建議，可以幫助您避免在PHP編程中產生跨站漏洞。