un contron el javascript te serviria de muy poco, cualquier usuario podria deshabilitar la ejecucion de javascript en su navegador, lo que yo ago es aplicarle la funcion addslashes() a todos los datos GET y POST, para evitar el sql inyecting.