Una inyección de SQL no se evita de esa manera, así que no digas falacias, ese no es un buen argumento.

Ahora, si quieres validar dichos caracteres, ¿debe ser en el momento en que van escribiendo o cuando ya lo has procesado con el servidor?

Porque para el primer caso necesitas Javascript y no PHP.