Форум АНТИЧАТ - Аудиоплеер для форума

Собственно озадачился такой идеей - сделать на форуме кастомный BB тег для вставки музыки с разных урлов.

Поставил на локалхосте vbulletin 3.6.8, залил в корневую папку player.swf (16 кб флешка, не суть важно) и через админку вставил такой код:

Тег [audio]xxxx[/audio]
Замена:

PHP код:


		
			
<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" style="width:300px; height:20px;"

codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0" >

<param name="autostart" value="false" />

<param name="movie" value="player.swf?file={param}" />

<embed src="player.swf?file={param}" style="width:300px; height:20px;" type="application/x-shockwave-flash" pluginspage="http://www.macromedia.com/go/getflashplayer" />

</object>

Но тут {param} не помещается ни в какие кавычки. Стало быть возможна XSS?
Разьясните нубу - нужна ли какая-нибудь фильтрация чего-нибудь и как её встроить в булку?
Ну последнее я могу выяснить и на всупппорте, но по части кавычек, думаю, античат больше подойдёт :)

ЗЫ сам плеер работает отлично.