Puedes dejar que usen todo el HTML que quieran mientras cumplan algunas condiciones que puedes evaluar con expresiones regulares... por ejemplo, que las imagenes (<img src="hola_mundo.jpg" />) sean solo .jpg, .bmp, .png o gif, entonces ya no habria problemas conque intenten subir un .php.

Tambien tienes que quitar etiquetas como <meta> y codigo javascript ya que se pueden hacer redirecciones y demás porquerias que no queremos que pasen...

Aúnque lo mejor sigue siendo utilizar BBCode, que para algo se invento :p