Si no querés guardar código malintencionado en tu base de datos, no te recomiendo la opción de utilizar una funcion JavaScript. Esa solución "del lado del cliente" es fácil de burlar para una atacante. Lo que deberías hacer es, en la página donde recibes los datos y los almacenas en la base de datos, verificar que lo que recibiste no es código malicioso antes de guardarlo. Como ésta es una solución "del lado del servidor" no es posible que el atacante burle la verificación.
Saludos.