Si quieres verificar además del lado del cliente(con el javascript propuesto), hacerlo en el servidor(no olvides que cualquiera puede enviar datos sabiendo un poco de html y redirigiendo un form a tu página) puedes usar por ejemplo la función
htmlspecialchars
Hay muchas funciones predefinidas para controlar el texto que se envia desde el cliente.
Salu2 ;)