nello stesso modo in cui ci si difende dalle SQLInjections, si verifica sempre scrupolosamente il valore della stringa in entrata e si effettuano "le solite operazioni" di escape più idonee per questa problematica (htmlentities, htmlspecialchars, addslashes, strip_tags, etc etc)