El permitir que un usuario ingrese código HTML es un riesgo gigante y de difícil solución. Lamentablemente, por más str_replace que pongas, ten la seguridad de que en el 90% de los casos siempre habrá algún hueco por el que tu usuario podrá inyectar cñodigo no deseado. Lo mejor, como dice pateketrueke, es usar strip_tags() y permitir de esta manera sólo ciertas etiquetas HTML, como las de formato, divs, tablas, todo dependiendo de la utilidad que tenga el sistema que estás haciendo.

Ahora, si sólo una suerte de administrador va a poder insertar el códido, lo más adecuado sería entonces permitir abiertamente cualquier código HTML, indicándole claramente que cualquier código malicioso afectará directamente la parte visual. Total, si es un administrador puede asumir sus propios riesgos.