svs_js,
Зачем ? Чем Вы выводите значение инпута ?
Когда должен выполниться этот код ?
Есть еще куча вопросов - потому, что так не стоит делать, посколь можно и элегантней, безопасней и проще

Тогда нужно в любом тексте, приходящем от пользователей, который вписывается в HTML код, экранировать чувствительные символы на сервере.
Например, в PHP для этого есть функция htmlspecialchars.

Если я правильно понял, автор хочет защититься от атаки XSS.

oneguy,

совершенно верно. а вот функции ПХП нет возможности использовать, сайт не на пхп :)

Ну и сделайте перед отправкой проверку на присутствие слова script в value

<input type="text" value="<script>alert(1)</script>" 
  onclick=" (value.indexOf('script') != -1) ? alert('есть script') : alert('нет script')" 
/>

Если не на ПХП, то эту функцию несложно написать самому. Нужно заменить в строке символы "&", "<", ">", "\"" на соответственно "&amp;", "&lt;", "&gt;", "&quot;".

Этого недостаточно, так как скрипт можно вставлять не только с помощью элемента <script>, а ещё с помощью атрибута on...
Да если ещё проверку делать только на клиенте, то это не помешает хакерам обойти эту защиту.

а также href = "javascript: