Копать надо глубже, повторюсь. Вот вам пример, имеется известный форум http://forum.xakep.ru. Раньше можно было вставлять тэги, ломалось все с первого захода. Теперь перешли на bb-тэг. Кавычки фильтруются, и все у них чинно. Напишем:
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">
[url]http://antichat.ru[/url][/QUOTE]<span id='postcolor'>
Получим:
&lt;a href=&quot;http://antichat.ru&quot;&gt;

А если напишем так:</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">
[url=http://antichat.ru]сайт[/url][/QUOTE]<span id='postcolor'>
то получаем:
&lt;a href=http://antichat.ru&gt;
А казалось бы одно и то же..

Или взять хотя бы http://woguest.ru
Знаю кучу сайтов с такими гестами. Раньше все фильтровалось, обрезалось и тд, но работало вот это:</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">
[img]javascript:alert()[/img][/QUOTE]<span id='postcolor'>
Теперь это не работает. Если бы не справочник zFailure и Алгола, то так бы и думали все что дела обстоят худо. А между тем мы делаем так:</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">
[img]&amp;#106&amp;#97&amp;#118&amp;#97&amp;#115&a mp;#99&amp;#114&amp;#105&amp;#112&amp;#116&amp;#58 &amp;#97&amp;#108&amp;#101&amp;#114&amp;#116&amp;# 40&amp;#39&amp;#39&amp;#41&amp;#59[/img][/QUOTE]<span id='postcolor'>
Вот вам и JS в странице гостевой. Хочешь редирект делай, а хочешь - еще чего-нить.