1. Was muss ich alles filtern, um das Formular sicher zu machen (oder reicht der String "$value =~ s/<!--(.\n)*-->//g;", wie ihn Matt Wright nutzt)?

Hm, das ist ein längeres Thema. Fang doch mal damit an, Dich mit "-T" in Perl vertraut zu machen ...

2. Wie schafft es Stefan, die Tags (also <>) zwar anzuzeigen, aber nicht als Tags zu interprtieren?
   Oder hat das mit der Geschichte etwas mit dem Thema "Wie schreibe ich < als < und nicht als <" zu tun?

Genau das, wie Du im HTML-Quelltext der Postings nachprüfen kannst.

Und dann, was damit sicher zu tunn hat, wie findet das Script heraus, das sich in ekigen klammern ein Link verbergen kann, so dass er Grafiken und Links zulassen kann (siehe http://www.teamone.de/selfaktuell/forum/forumsfaq_2.htm#a8)?

Indem das Skript nach genau solchen Zeichenketten wie /<(^>)]/ etc. sucht und durch den entsprechenden HTML-Code ersetzt.