Para que no se pueda ajecutar código debería valer con pasarle htmlentities al texto. Esto convierte los caracteres a su equivalente HTML y al mostrarlo se verá el código, no se ejecutará. Es un buen punto por donde empezar.

El tema de caracteres prohibidos lo puedes hacer con expresiones regulares o con las funciones de búsqueda de caracteres en cadenas, puedes tener la lista en un array y luego comprobar si alguno de esos carecteres está en la cadena. Echale un ojo al manual.