Výstup dat projeď skrze $vystup = htmlspecialchars($query, ENT_QUOTES);
To zapříčíní to, že zneužitelné znaky se změní na html entity.
př <h1>NADPIS</h1> bude <h1>NADPIS</h1> a tím pádem se vše vypíše, včetně <h1></h1>, protože s tím bude nakládáno jako s textem, nikoliv s html kódem.