Salve, vorrei bloccare tutti i testi che contengono caratteri(come html ecc) esempio: <script>alert("XSS Code")</script>

Ho provato a fare cosi:

codice:
if(!preg_match("/[a-zA-Z0-9\!\?\.]/", $testo))
però non funziona, vorrei bloccare i caratteri come <> '' "" ecc però non voglio bloccare caratteri come ? ! ... o la punteggiatura ecc.
Potete gentilmente aiutarmi? grazie