diff --git a/zh/09.2.md b/zh/09.2.md
index 58f97fdb..14ea04d9 100644
--- a/zh/09.2.md
+++ b/zh/09.2.md
@@ -31,6 +31,7 @@
 - 加入检查及阻止来自外部数据源的变量命名为CleanMap。
 
 接下来，让我们通过一个例子来巩固这些概念，请看下面这个表单
+```html
 
 	<form action="/whoami" method="POST">
 		我是谁:
@@ -42,7 +43,9 @@
 		<input type="submit" />
 	</form>
 
+```
 在处理这个表单的编程逻辑中，非常容易犯的错误是认为只能提交三个选择中的一个。其实攻击者可以模拟POST操作，递交`name=attack`这样的数据，所以在此时我们需要做类似白名单的处理
+```Go
 
 	r.ParseForm()
 	name := r.Form.Get("name")
@@ -51,10 +54,12 @@
 		CleanMap["name"] = name
 	}
 
+```
 上面代码中我们初始化了一个CleanMap的变量，当判断获取的name是`astaxie`、`herry`、`marry`三个中的一个之后
 ，我们把数据存储到了CleanMap之中，这样就可以确保CleanMap["name"]中的数据是合法的，从而在代码的其它部分使用它。当然我们还可以在else部分增加非法数据的处理，一种可能是再次显示表单并提示错误。但是不要试图为了友好而输出被污染的数据。
 
 上面的方法对于过滤一组已知的合法值的数据很有效，但是对于过滤有一组已知合法字符组成的数据时就没有什么帮助。例如，你可能需要一个用户名只能由字母及数字组成：
+```Go
 
 	r.ParseForm()
 	username := r.Form.Get("username")
@@ -62,7 +67,8 @@
 	if ok, _ := regexp.MatchString("^[a-zA-Z0-9]+$", username); ok {
 		CleanMap["username"] = username
 	}
-
+	
+```
 ## 总结
 数据过滤在Web安全中起到一个基石的作用，大多数的安全问题都是由于没有过滤数据和验证数据引起的，例如前面小节的CSRF攻击，以及接下来将要介绍的XSS攻击、SQL注入等都是没有认真地过滤数据引起的，因此我们需要特别重视这部分的内容。