Hoi.

Was sind eure Erfahrungen?

Meine Erfahrung ist, dass TinyMCE ein ziemlich geiles Stück Software ist ;-)
Trotzdem: Wenn Du Sicherheit willst(worauf auch immer Du genau von wg. Schadcode hinaus willst), dann biste beim Tiny an der falschen Adresse.
Alles, was der Client sendet(egal ob mit nem Form simpelster Art oder eben "per Tiny") kann manipuliert werden.
Willst Dir also die Sicherheit am Herzen liegt, musst Du die Geschichte auf Seiten des Servers(PHP, Perl wasweissich) prüfen...

Grüße