Veran tengo un editor en mi sitio, actualmente el codigo html que de ingresa en el lo transformo a bbcode, ahora esto me a limitado a muchas cosas, como: no poder insertar flash (solo videos de youtube), si las imagenes son muy grandes no se puede cambiar el tamaño entre otros.

He estado pensando en eliminar el bbcode y almacenar directamente el html a la db pero el miedo que tengo son las inyecciones html, es decir que el usuario pueda ingresar codigo que perjudique el funcionamiento de la pagina.

La verdad no tengo idea de como evitarlo si el contenido sera guardado directamente como html y este puede contener codigos malicioso.

Alguien me puede aconsejar algo?

Gracias.