Bueno, no es que js no tenga nada que ver...

Podrías eliminar palabras clave de sql, mediante una lista, si estás seguro que esas palabras no deberían ingresar en tu formulario.

Desde luego, siempre es necesario filtrar los recibido del lado del servidor, por si javascript no estaba activo o si intencionalmente se enviaron datos tipo sql.