Собственно озадачился такой идеей - сделать на форуме кастомный BB тег для вставки музыки с разных урлов.

Поставил на локалхосте vbulletin 3.6.8, залил в корневую папку player.swf (16 кб флешка, не суть важно) и через админку вставил такой код:

Тег [audio]xxxx[/audio]
Замена:
Но тут {param} не помещается ни в какие кавычки. Стало быть возможна XSS?
Разьясните нубу - нужна ли какая-нибудь фильтрация чего-нибудь и как её встроить в булку?
Ну последнее я могу выяснить и на всупппорте, но по части кавычек, думаю, античат больше подойдёт

ЗЫ сам плеер работает отлично.