Todas las funciones que te hemos dado sirven para modificar el código mal intencionado antes de que ingrese a la BD. Si, por ejemplo, usas la funcion que te di str_replace sobre la misma cadena donde guardas lo ingresado (antes de meterlo a la BD), tu cadena se guardará modificada y sin código malintencionado.

Como bien mencionas, hay código javascript para que lo ingresado sea validado antes de que se procese la info. Usarías el evento onSubmit y validas la cadena, solo que no sé como hacerlo con una función ahorita, me pongo a investigar y te digo si lo encuentro.

Saludos