bien, JuanRAPerez es lo que propone.

simplemente, con reemplazar:

cadena_a_introducir = cadena.replace(" ' ";" '' ");

evitamos cualquier inyección de código SQL?

y para la inyección de HTML, donde hacer la validación, local o server, con los problemas que he planteado ?

salu2.
gracias.