Wenn ich aber alle Zeichen, die der Client eingibt, genau so speichere (utf-8 Text), dann sollte doch auch der Scriptcode lediglich als Text ausgegeben werden, wenn dieser in Anführungszeichen steht und der Browserclient kommt gar nicht erst auf die Idee JS auszuführen. Oder liege ich da falsch?

Die zeichenkodierung ist irrelevant, da HTML-Spezialzeichen eh alles ASCII Zeichen sind.
Nein es geht darum, dass ein Autor kein gültiges HTML produzieren darf.
Deshalb hast du die Zeichen <>"& im HTML Kontext zu maskieren.

Es schadet, wenn überhaupt "nur" andere Busucher des Gästebuches (was natürlich auch nicht im Sinne des Erfinders liegt).

Wenn du ein XML Speicherformat wählst, dann ist dein Speicherformat ein XML Kontext und du hast XML-gerecht zu maskieren.

Verstehe das Prinzip Kontext.

mfg Beat