Ich habe leider keine große Ahnung davon was man alles schadhaftes mit einer Textarea anstellen kann, deshalb bin ich vielleicht zu vorsichtig.

Fixier dich nicht so sehr auf dein Formular, die php seite kann auch von einem Skript aufgerufen werden, z.b. mit Perl kann man so ein Skript schreiben, dass sich exakt so wie ein Browser verhält und die Daten die dabei übertragen werden können beliebig sein. D.h. die Serverseitige Prüfung ist das A&O, das JS in der Vorschau ist nur ein nettes Feature für deine echten Besucher. Letztlich würde ich es aber so wie dedlfix es vorgeschlagen hat machen.

Struppi.