Чтобы избежать ту опасность о которой вы говорите, все делаете также как это проделываете в UBBcode, фильтруете полученный POST запрос от HTML. А далее принцип работы UBBCode и разрешенных HTML одинаковый, например:
UBBCode: [URL=link]ankor[/URL] заменяете на <a href=link>ankor</a>
HTML: <a href=link>ankor</a> заменить на <a href=link>ankor</a>
Тем самым безопасность тут такая же, как и у UBBCode.
Это ведь зависит от разрешенных тегов. Если тегов в этом редакторе не более чем в UBBCode - то программный код будет занимать не более того что есть в самом UBBCode. Ведь в любом случае убиваются все HTML теги, а из убитых можно вытащить только нужные. Только разница в том что в UBBCode мы вытаскиваем в стиле тегов с квадратными скобками, а с HTML придется в качестве скобок использовать < и >.
UBBCode: [URL=link]ankor[/URL] заменяете на <a href=link>ankor</a>
HTML: <a href=link>ankor</a> заменить на <a href=link>ankor</a>
Тем самым безопасность тут такая же, как и у UBBCode.