Das roblem an der ganzen Sache ist, dass JavaScript ja nur Clientseitig funktioniert, d.h. wenn der User JS deaktiviert hat, dann wird auch dein "Vorschauschutz" nicht mehr funzen.
Vor daher wäre es um einiges ratsamer, wenn du eingebaute Funktionen von PHP, wie z.B. htmlspecialchars(), htmlentities() oder, wenns ganz extrem sein darf, strip_tags() verwendest.