Reemplazar caracteres en jquery (Seguridad)

Hola que tal amigos de cristalab hoy vengo con un pequeño problema a ver si alguno se acompade de mi y me ayude a solucionarlo les cuento que cuando hago un .append() para mostrar los comentarios este ejecuta cualquier cosa que ayase escrito por el usuario por ejemplo <script>window.location="hola.php"</script>

me envian y al mostrarlo se ejecuta...

uso:

$.ajax({
type: "POST",
url: pagina,
data: dataString,
success: function() {
$('#newmessage').append(' '+create+' ');
}
});

que puedo hacer para que no ejecute cualquier html que envie el usuario mediante jquery ajax (?)

php yo remplazo los carecteres el unico incoveniente es a la hora de mostrar el comentario con .ajax()

HOla te quiero ayudar pero no entiendo al 100% tu post podrias ser mas claro por favor, porque a lo que logro entender el usuario llega a tu pagina y este hace un post y lo que quieres es limpar lo que el usuario escriba lo que puedes hacer es con PHP ó JAVASCRIPT limpar la cadena de texto de caracteres especiales y luego en el success:function(datos){} supongamos que mandas el POST mediando dataString a un PHP para guardarlos en la base de datos y el regreso si existe algun error DATOS que ese encuentra dentro del success en tu PHP puedes poner un if para hacer un echo "success" por decir algo y que entonces te serciores que tu codigo esta limpio y poder implementarlo, igual ando medio perdido tu me diras

Hacer la limpieza en JavaScript no solo es redundandte, es además inseguro, puesto que cualquiera podría armar la petición "a mano" y saltarse cualquier restricción que hayas puesto con JS. Lo mejor es hacer el trabajo en el servidor.

Si sabes programar en PHP te recomiendo esta herramienta: htmLawed.

ldgmmorales: es asi mi problema esta que cuando el usuario envia el comentario este lo ejecuta el jquery cuando lo guardo en la bd no pasa nada por que uso htmlentities mi problema es cuando el mensaje es mostrado en tiempo real.

como dice DriveOp en javascript no es la opción, pero si tu problema esta en la insercion haz un echo de la consulta para que sepas que esta llegando por ejemplo yo lo que hago es que le hago

echo "INSERT INTO tabla VALUES()";

obvio comento query de verdad y esta cadena entra por la parte de DATOS en el success:function(datos){ alert(datos)} asi puedes saber que es lo que esta pasando en el PHP a la hra de recibir los textos.