Hi,

Drückt der Nutzer auf Vorschau wird der Inhalt der Textarea in einem DIV dargestellt und entsprechender Code interpretiert.  Quasi kann er sich seinen Kommentar im Vorraus anschauen und ggf. korrigieren.
Das würde doch bedeuten, dass ohne Filter auch schadhafter PHP / JS Code interpretiert wird?

Dies wollte ich mit der JS Funktion unterbinden.

was völlig unsinnig ist, da dieser Code nur vom Schreiber "gesehen" wird und PHP vom Browser ohnehin nicht ausgeführt wird; und sollte der Scheiber schadhaftes Javascript einschleusen wollen, trifft es nur ihn selbst... Du schützt also allenfalls einen Hacker davor, in seine eigene Falle zu tappen.

Ich habe leider keine große Ahnung davon was man alles schadhaftes mit einer Textarea anstellen kann, deshalb bin ich vielleicht zu vorsichtig.

Du solltest Deinen Horizont erweitern. Eine Textarea ist ein HTML-Element - nicht mehr.
Aber wenn Du Formularinhalte in einer MySql-Datenbank verarbeitest, solltest Du die hierfür vorgesehene Schutzfunktion mysql_real_escape_string() anwenden. Und wenn Du die Inhalte später in einer HTML-Seite ausgibst, die hierfür vorgesehene Funktion htmlspecialchars(). Und falls Du eine Usereingabe verlinkt ausgibst, solltest Du zusätzlich auf JS-Eventhandler prüfen - sonst könnte ein generierter Link z.B. auch so aussehen:
<a href="http://example.org" onmouseover="window.location='http://example.org/trojaner.html">

Das Rumgehampel mit PHP und JS ist nicht sinnvoll.

freundliche Grüße
Ingo