Wenn das & in einem HTML-Quelltextes nicht in seiner Sonderbedeutung (Einleitung einer Entität) gemeint ist, dann *muß* es auch maskiert werden,

Sag ich doch.

Schau Dir beispielsweise das Ergebnis des folgenden HTML-Codes mal im Internet Explorer an:

Mein Firefox erstezt auch das &copy

<a href="http://example.org/?bla=blub&copy=me">Link</a>

Ok, Ich formuliere es anders. Das &-Zeichen kann man relativ gefahrlos einsetzen, wenn man sicherstellt, dass keine Vorhandene Entität dabei entstehen kann, besser ist es allerdings, wenn man es gleich richtig und nach Webstandard macht und das &-Zeichen korrekt maskiert.