https?://     #anti XSS, Mache Schemavorgaben

heißt das, dass url nur dann erkannt wird, wenn es einem http oder https folgt?

ja
relative urls sind dadurch nicht möglich.

aber die funktion ist cmsintern - sicherheit käme da gegen administrierungswerkzeuge ;/

Im Grunde ist ein isolierter BBCode in dieser Fassung auch für ein internes CMS so ungeeignet, denn es warnt dich nicht davor, wenn du Bockmist baust.

BBCode produziert HTML
Du musst genau so eine Validitätsprüfung deines BBCodes vornehmen, wie für HTML.

Jetzt schreibst du zum Beispiel:
[url:path/to/file][url:path/to/another/file]myfile[/url][/url]

Deine Transformation sollte dich auf solche Fehler aufmerksam machen.

mfg Beat