Hi,

Da ich ja aber keinen Plan von JS hab  weiß ich net ob die funktion ausreicht um JS zu filtern.

wie gesagt reicht htmlspecialchars i.d.R. aus und ist dafür auch vorgesehen.
Was aber weder diese PHP-Funktion noch Deine RegEx verhindern, sind Event-Handler in evtl. *von Deinem Script* generierten Links.

freundliche Grüße
Ingo