Se il contenut viene visualizzato tramite http://www.php.net/echo o http://www.php.net/print è improbabile che il codice PHP anche se inserito venga eseguito. Comunque puoi utilizzare un'espressione regolare per rimuovere eventuali contenuti "pericolosi". Tieni presente che l'HTML non filtrato può essere sfruttato per attacchi XSS etc.