Пишу новостной сайт, необходимо оставить возможность пользователям базового синтаксиса html, но запретить все опасные тэги и символы, дабы избежать css и Mysql injection, Необходимо оставить возможность подключать файлы картинок только с определённого хоста, форматирование списков, жирный шрифт.

FCKEditor

А дальше фильтровать, фильтровать.

Кста, в PHP можно сказать вырезать все html-теги кроме.

<?php
$string = strip_tags($string,'<a><b><i><u>'); //Во втором параметре - разрешенные
?>