@@Robert R.:

nuqneH

Nö, das ist gar nicht gut. Da fehlt die Kontextbehandlung.

Und du glaubst ernsthaft, dass Richie mit _der_ Antwort was anfangen kann?

Mit Google wird er ja wohl umgehen können?
Suche "hrml Kontextbehandlung"

Aus deiner Antwort ging nicht im Geringsten hervor, was dein eigentlich das Problem darstellt und warum man überhaupt nach etwas goo^W suchen* sollte.

ERSTER Treffer:
http://wiki.selfhtml.org/wiki/PHP/Anwendung_und_Praxis/Kontextwechsel

Ja, und dann?

Der Artikel ist lang und recht abstrakt. Läd jemanden, der sich der Problematik nicht bewusst ist, kaum zum Lesen ein.

Außerdem wird das hier vorliegende Problem überhaupt nicht behandelt. (Er behandelt SQL-Injections und " in Zeichenketten. Dabei gibt er den falschen Rat, " zu escapen. Richtig wäre der Rat, richtige Anführungszeichen (de: „“, en: “”) zu verwenden; dann taucht das Problem gar nicht erst auf.)

Erst ganz unten im Artikel (d.h. ein an SQL nicht Interessierter wird gar nicht bis dorthin kommen) findet sich ein Link zur Fortsetzung Kontextwechsel erkennen und behandeln. Dort erst wird auf htmlspecialchars() eingegangen. Allerdings ohne die Problematik XSS-Injections zu erwähnen. Es wird lediglich gesagt, wie man Ausgaben in HTML behandeln _kann_; kein Wort darüber, warum man das tun _muss_.

Fazit: Die Artikel zum Kontextwechsel sind wenig geeignet, Anfängern (und unwissenden Fortgeschrittenen) die Problematik zu vermitteln. Sie sollten grundlegend überarbeitet werden.

Qapla'

* Ein erster Schrittgegen Spyware 2.0 ist die Erkenntnis, dass es außer der Datenkrake Google noch andere Suchmaschinen gibt. DuckDuckGo bspw.