Los métodos para protegerse consisten principalmente en no introducir en tus consultas parámetros que vengan directamente del usuario (por HTTP GET o POST). Esto incluye también las cajas de texto de un formulario de contacto.

Por ejemplo, en ASP, nunca hay que hacer algo como esto:

query = "SELECT * FROM mi_tabla WHERE id=" & Request("id")

Porque, de esta manera, cualquier cosa que te pasen en el parámetro id irá directa a la base de datos.

Por desgracia, un código javascript no sirve para nada, porque se ejecuta en el navegador del atacante, y un usuario malicioso puede saltárselo sin ningún problema.

Las buenas prácticas para protegerse de este tipo de problemas son muy detalladas para describirlas aquí, y yo no soy ningún experto. Te recomiendo que busques "inyección sql" o "sql injection" por internet, hay muchas guías de seguridad muy buenas.