Hi,

Angenommen ich liefer mir folgenden Eintrag aus der Datenbank: '"äad/<!>
Du meinst, dass die Sonderzeichen in HTML schließlich nicht so dargestellt werden, wie sie eigentlich sein sollten, oder? Eine wirkliche Gefahr stellt dies doch nicht da? Es könne unschön aussehen, das wäre aber auch doch schon alles?

Überlege dir, was passiert, wenn ich als Nutzer Text einschleusen kann, der <script>...</script> enthält, und dieser bei anderen Nutzern dann angezeigt wird.
... kann für JS-Code stehen, der die Cookies der Nutzer ausliest und an meinen Server übermittelt, oder auch gleich Nutzername und Passwort, welche sie gerade in ein Formular auf deiner Seite eingetragen haben.

Ich würde in diesem Fall vor dem Ausgeben htmlentities(), htmlspecialchars  oder etwas ähnliches benutzen. Meintest du das?

Ja, natürlich.
htmlspecialchars reicht aus; htmlentities ist i.a.R. nicht zu empfehlen.

MfG ChrisB