Primero que nada, código que pones es javascript. Segundo, eso no te va a ayudar en nada, si acaso a detener a esos script kiddies que no saben ni como desactivar la ejecución de javascript.

Te aconsejo leer un poco mas sobre el tema, es mejor prevenir del lado del servidor, es decir, con funciones de php. Echale un ojo a funciones como mysql_real_escape_string o, incluso mejor, usar PDO.