Hallo,

aber verhindert mein preg_replace in seiner einfachsten und strengsten Form nicht genau, dass ein Kontektwechsel stattfinden kann?

nein, der Kontextwechsel findet in jedem Fall statt - auch wenn dein RegEx möglicherweise die Daten so verändert, dass sie keinen Schaden anrichten. Btw, verwechsle bitte nicht die Begriffe "schadhaft" (ist selbst beschädigt) und "schädlich" (kann zu Schäden führen). Die im Formular eingegebenen Daten sind nicht schadhaft, wie du im Startposting formulierst, aber möglicherweise schädlich.

Aber der springende Punkt ist doch: Du veränderst eingegebene Daten inhaltlich. Das möchte man aber nicht, und darum darf man bei jedem Kontextwechsel nur die genau darauf abgestimmten Maskierungen oder Codierungen vornehmen, die dafür sorgen, dass am Ende des Übermittlungswegs wieder exakt die Originaldaten zur Verfügung stehen.

So long,
 Martin