No es del todo seguro dejar que usen todo el HTML que quieran .. de hecho una de las cosas más peligrosas es dejar que puedan dejar vinculos a imagenes y más "remotas" .. por qué ahí te podrán subir por ejemplo un "script.malicioso.php" bajo un tag de imagen <img src="script.malicioso.php"> ..

Un saludo,