да, это правило я знаю, пользователей регистриркет админ, а вот что они потом вводят просто беда. я использую как один из методов - регулярные выражения. Но мне нужно разрешить пользователям фомотировать свои тексты (новый обзац, выделение цветом), соответственно  в базу попадают html теги, есть ли другой способ или как обезопасить себя от них.

А для таких случаев есть различные коды, BBCode, например, можешь свой синтаксис придумать. При выводе просто парсь теги в нужный html код.

htmlspecialchars заменяет «&» на «&amp», «"» на «&quot», «<» на «&lt» и «>» на «&rt»  (точки с запятой убраны, иначе форум их зажёвывает). И ровно на столько он надёжен. Если этого будет мало - можно написать свою функцию, которая будет обрабатывать нужную строку, например, via str_replace.

в скрипте загрузки картинок проверяй расширения..что бы вредоносный php скрипт не залили..

http://myphp.net.ru/lessons/index.php?7
Там во второй части гостевой описаны способы проверки синтаксиса