kostyanet, какая те разница какой пароль у юзера? В базу он кладётся экранированным, забирается разэкранипровнным и все довольны.(а вообще пасс юзера принято хранить в виде хэша с солью, в открытом виде хранят только мудаки)
Проверить можно так:
/[\0'"\n\r\\\u001A]/.test(pass)
только на серваке всё равно надо нормально обрабатывать.