Sto sviluppando anche io la stessa cosa e non dò la possibilità di agire direttamente sul codice html, quindi i vari < e > inseriti direttamente nel testo vengono tradotti in codice html e quindi sono innocui.
La cosa che mi preoccupa è se qualcuno possa creare uno script esterno che valorizzi il campo con codice maligno.