如何使用BBCode代码？以及如何安全地使用？

我感觉应该是这样：
1 接收带BBCode的文本。
2 带BBCode的文本直接存放到数据库中。
----3.1 如果要显示，使用将带BBCode的文本转换成HTML的函数。
----3.2 如果要编辑，直接将带BBCode的文本显示出来。

安全方面主要是屏蔽HTML标签。这个应该如何屏蔽？是在第一步接收的时候就直接加htmlspecialchars()么？这样会干扰将带BBCode的文本转换成HTML的函数么？
另外还有nl2br()这个函数。前面提到的三个函数的使用顺序应该是怎样的？

还有其他的需要注意的地方么？

回复讨论(解决方案)

保存时原样保存
显示时对保存的文本 htmlspecialchars 后进行 BBCode 解码

保存时原样保存
显示时对保存的文本 htmlspecialchars 后进行 BBCode 解码
nl2br()的位置随便么？接收的时候用textarea。

只在显示时可能需要使用 nl2br()
要用，也在 BBCode 解码之后