Вы можете использовать простое регулярное выражение, чтобы утверждать, что идентификатор содержит только допустимые символы:
if(id.match(/^[0-9a-zA-Z]{1,16}$/)){
//The id is fine
}
else{
//The id is illegal
}
В моем примере допускаются только буквенно-цифровые символы и строки длиной от 1 до 16, вы должны измените его в соответствии с типом используемых вами идентификаторов.
Кстати, в строке 6 свойство value отсутствует пара кавычек, что легко сделать при цитировании на двух уровнях.
Я не вижу ваш фактический поток данных, в зависимости от контекста эта проверка может вообще не понадобиться, или ее может быть недостаточно. Чтобы сделать правильный обзор безопасности, нам понадобится дополнительная информация.
В целом, о встроенных средствах спасения или дезинфекции, не доверяйте им слепо. Вам нужно точно знать, что они делают, и вам нужно установить, что это на самом деле то, что вам нужно. Если это не то, что вам нужно, код, свой собственный, в большинстве случаев простое белое правило, подобное тому, которое я дал вам, работает отлично.