Nun befürchte ich, dass ich mit PHP den Quellcode erst filtern muss.

Ja, das ist so sicher wie das Amen im Gebet.

Da bin ich skeptisch, ob man das mit regulären Ausdrücken zuverlässig hinbekommt.

Die harte Wahrheit:
Zuverlässig wirst du das nie hinbekommen - es gibt vermutlich so viel Browser-Bugs und Fehlerkorrekturroutinen, die du mit einem Regulären ausdruck nicht abfängst - angefangen von simplen Dingen wie falsche Syntax bishin zu gefinkelten Dingen wo z.B. die Tags absichtlich Tippfehler enthalten, damit sie durch solche Routinen nicht ausgefiltert werden aber grade noch durch die Fehlerkorrektur des Browsers kommen.

Kennt sich jemand damit aus und hat einen Tipp?

Zum bereinigen/parsen von HTML oder XHTML würde ich prinzipiell einen HTML/DOM- oder XML-Parser verwenden, die bieten aber dieselben Nachteile wie bereits genannt - wenn du mit einem XML-Parser alle script-Elemente entfernst, erwischt du noch lange nicht alle scirpt-Elemente.

Vielleicht PHP-Code, den ich nutzen kann oder eine JavaScript-Bibliothek oder sonst einen Trick?

Mir ist nichts bekannt.