come fare per essere sicuro che in un campo non venga considerato codice server e client, ma solo html?

ad esempio ho appurato che per il giavascript non e' sufficiente escludere il tag, poiche' internet eplorer

interpreta javascript anche tag di questo tipo

es

<?javascrip... oppure
<javascrip?... ecc...

Come faccio quindi ad essere sicuro che nessuno riesca ad inserirlo

Per i linguaggi server e' sufficiente escludere

<%, <%@, <! ecc....?