你所说的这个，叫XSS攻击.
Yii2 有提供了函数来防范．

用法如下：

<?= \yii\helpers\Html::encode($title) //纯文本 ?>
<?= \yii\helpers\HtmlPurifier::process($content) //带html和js代码显示的文本 ?>

这里只需要在显示的时候用就可以了，代码里面js会以文本的形式输出显示．不需要再考虑提交表单时如何过滤或者转义再存进数据库之类的．

如果你这个问题不是应用于 yii，你可以去找一下＂php xss过滤＂的相关资料看看，这里就不重复回答了．