Diciamo che l'argomento possa dirsi propedeutico alla gestione delicata dei BBCODE.
Non esiste nessuna sorta di algoritmo che discerne nel phpBB, manicheisticamente, il bene dal male: il codice del BBCODE viene pedissequamente eseguito, perchè semplicemente a questo è deputato!
Sta a chi aggiunge il TAG di specie, a crearlo in modo che non possa ( o meglio renda estremamente difficile ) veicolare Cross-site scripting.