ola dedlfix,

Für einige Situationen (abseits der 08/15-Anwendungsfälle) ist es sogar nicht verwendbar.

Würdest du mir eventuell diese Fälle erläutern, oder hast du eine gute Seite, die das Problem anspricht?

Das ist keine Oder-Angelegenheit. Kontextgerechtes Escaping benötigt man immer, sowohl für die "guten Daten", als auch um Injection-Angriffe zu verhindern. Die fachliche Inhaltsprüfung ist davon komplett unabhängig.

Da hast du recht, das "oder" hat hier eindeutig nichts zu suchen. Man sollte immer alles ordentlich prüfen, denn auch wenn nicht vom Anwender beabsichtigt, können sich ungewollte Fehler einschleichen.

mfg,
Rolfi