Te recomiendo que, como dice Panino tengas control del lado del servidor, pero a manera de background.

Es decir, que desde JavaScript no permitas que el formulario se envíe si éste contiene los caracteres: "<" o ">"

Si sale algún 'listillo' que desactive JavaScript para enviar el formulario, ya desde PHP, como tienes tu background, le mencionarás que no se permite enviar esos caracteres.