SIrDuke muchas gracias por tu respuesta. Normalmente hago como vos decís, pero, esta web es multi-idioma, eso seria que por ejemplo, para un nombre tendría que habilitar también a-zA-zñ.'
para un comentario: a-zA-Zñ.:;-_'"(todos los símbolos de moneda)
No se creo que serian tantas variables, que tal vez podría dar un error a un cliente vago y que por no cambiar su mensaje perder su solicitación de presupuesto.
Por eso pensé que tal vez la mejor manera seria con php, transformar todo a algo que no sea peligroso como es htmlspecialchars y después, quitar // \\ y escapar de carácter y después cortar el string a 100 si es nombre email telefono etc y 255 si es comentario, de esa manera recibo siempre la solicitud y con java script solo compruebo que no sea muy largo o muy corto el string.
Entonces, también sabiendo que los $_post pueden llegar desde ningún lugar y con exploit en PERL o Python te saltas todos los filtros en javascript, pero en este caso estaría transformando lo que llega por $_POST para hacerlo inofensivo.