Hallo Martin!

Was kann ich tun?

Dem Anwender diese Freiheiten nehmen, oder mit allen möglichen Konsequenzen leben, oder sehr, sehr viel Aufwand treiben, um mögliche Schwachstellen auszubügeln.

Sprich, einer dieser Funktionen aus einem beliebigen Framework vertrauen soweit ich mir nicht zutraue es besser/sicherer zu lösen? Offenbar ist das Problem nicht so einfach zu lösen, sonst hätten selbst die "großen" CMS nicht damit zu kämpfen obwohl sie viel Energie in komplizierte Funktionen investieren. Der heilige Gral, also ein Derivat zu htmlspecialchars, gibt es für solche Fälle also (noch) nicht?