Одним из самых простых способов защиты является отключение сктиптов.
echo str_replace("s_c_r_i_p_t", "script", $string);
Однако, не всегда такой способ подходит. Рассмотрим еще один способ защиты:
echo str_replace("<span>script<span>", "script", $string);
Таким образом мы разрешаем добавление скриптов, но они становятся безвредными.