Ich hab mir die mal angeschaut, ich fand BBCode::Parser wesentlich vertrauenswürdiger.
(Und ich glaube mich an ein perlmonks-thread zu erinnern, in dem jemand bemerkt hat, dass TML::BBCode kaum validiert hat beim parsen, und dass man damit XSS Tür und Tor geöffnet hat. Das wurde zwar behoben, zeigt aber, dass es nicht von Grund auf mit Sicherheit im Hinterkopf geschrieben wurde).