Javascript se puede desactivar.
Un ataque no necesariamente puede ser desde tu WEB. Un formulario puede ser enviado de cualquier lugar.

De que te sirve cambiar los caractes/simbolos, si al intentar utilizarlos en una funcion o query, te va tirar error.

Importante:

Javascript puede ser un Murallon para el usuario de tu web, pero al usuario con malas intenciones o robots, javascript es solo una piedra. Como programador PHP tienen que entender eso. Si conoces el contenido de cada variable proveniente del formulario, busca funciones, crea reglas y condiciones para evitar el ataque. Todo desde PHP.

Espero que te sirva.