Se non vuoi che l'utente possa inserire codice HTML, applica sempre strip_tags() oppure una versione alternativa per gestire anche l'eliminazione di tag come STYLE e SCRIPT.

Se vuoi permettere agli utenti un certo livello di personalizzazione del design, prova con bbcode.