Cita:
Iniciado por arawako 
Si usas PHP puedes llamar la funcion htmlentities(), por ejemplo:
<?php echo htmlentities($nombreDelUsuario); ?>
Esto convierte todos los caracteres a HTML, mostrando solo texto y no ejecutando scripts.
Esta bein peor yo le añadiria ENT_QUOTES, para quedar
<?php echo htmlentities($variable, ENT_QUOTES); ?>