Habitulamente, con escapar todas las comillas es suficiente. Otra opción es usar procedimientos almacenados. Así no hay quien te haga una inyección de SQL ni de coña.

Pero sí, efectivamente puedes hacerlo desde el lado del cliente con JavaScript, antes de enviar el formulario.

Existe el "replace", y también puedes usar expresiones regulares si te place.

Espero haberte ayudado.

Un saludete,
eContento