че то не могу понять, поставил bb редактор, принимаю данные из textarea в переменную $text и там где принимаю данные пишу bb_code($text); но че то не работает нефига

Если и есть уязвимость делаем так $text=mysql_escape_string(htmlspecialchars(strip_tags(bb_code($text))));

Что? Какая уязвимость?

Здесь кажется уязвимость в [url],можно передать куки.