Необходима функция добавления своего кода в head, и в конец body на сервисе, чтобы пользователь мог вставлять свой произвольный HTML-код(зачастую: метрики, мэта-теги для верификации).
Как можно отфильтровать PHP-код, оставив исключительно HTML-код, чтобы обезопасить приложение?
А зачем вам его фильтровать? Вы ведь не собираетесь этот код исполнять. Вы где-то (в БД или файлах) храните какой-то текст, а потом его просто получаете и выводите на страницу. Достаточно просто делать это не через require/include, а через условный file_get_contents().
