У вас есть два варианта.
Во-первых, вы можете позаботиться о HTML, который отправляет пользователь, и что-то с этим сделать. Попробуйте lib_filter Кэла Хендерсона (из известности Flickr) или, может быть, что-то более тяжелое, например HTMLPurifier .
Во-вторых, если вы действительно хотите нейтрализовать весь HTML, но сохраняете специальный синтаксис, используйте htmlspecialchars , а затем отмените преобразования для нужных строк с помощью регулярных выражений. Это может быть немного более волосатым. ;)
Да, это обе реализации PHP, а не Javascript. Ajax-вызов специального сценария, генерирующего предварительный просмотр, когда пользователь на мгновение прекращает печатать, должен быть достаточно быстрым. Или заставьте их нажать кнопку.