Reemplazar caracteres en jquery (Seguridad)

Hola que tal amigos de forosdelweb hoy vengo con un pequeño problema a ver si alguno se acompade de mi y me ayude a solucionarlo les cuento que cuando hago un .append() para mostrar los comentarios este ejecuta cualquier cosa que ayase escrito por el usuario por ejemplo <script>window.location="hola.php"</script>

envian y al mostrarlo se ejecuta...

uso:

$.ajax({
type: "POST",
url: pagina,
data: dataString,
success: function() {
$('#newmessage').append(' '+create+' ');
}
});

que puedo hacer para que no ejecute cualquier html que envie el usuario mediante jquery ajax (?)

php yo remplazo los carecteres el unico incoveniente es a la hora de mostrar el comentario con .ajax()

a eso le llaman ataques XSS, y se puede o filtrar desde PHP o javascript, desde PHP me parece los más acertado.

otra opción es usar load() de jQuery que no analiza los bloques script, o desactivarlo al usar $.ajax, pero si se hace desde PHP no hace falta.

para PHP puedes conseguir miles de formas de evitar XSS

los ataque xss para mi no son problema como empiezo ahora hacer las paginas mas dinamicas requiero de estos lenjuages como javascript y sus framework ajax jquery etc...

con php no tengo problema en seguridad el problema me surge en el jquery a la hora de mostrar los comentarios en tiempo real... cuando el usuario inserta cualquier html e envia su mensaje mediante .ajax() este lo ejecuta .append()


no se como prevenir eso con jquery :/