Si quieres verificar además del lado del cliente(con el javascript propuesto), hacerlo en el servidor(no olvides que cualquiera puede enviar datos sabiendo un poco de html y redirigiendo un form a tu página) puedes usar por ejemplo la función htmlspecialchars

Hay muchas funciones predefinidas para controlar el texto que se envia desde el cliente.

Salu2 ;)