Tach!

Beachte ggf. auch, dass du es mit Benutzereingaben zu tun hast, bei der Ausgabe musst du den Kontext beachten.

Nicht um den heißen Brei herumreden! Hier ist Klartext angesagt:

Benutzereingaben u.a. Daten fremder Herkunft dürfen nie unbearbeitet in HTML-Code ausgegeben werden, sondern müssen immer gegen Einschleusen von Schadcode abgesichert werden: htmlspecialchars()

Hab ich doch auch schon so oft gesagt: Es kommt nicht auf die Herkunft an! Man muss bei jeglichen Daten den Ausgabekontext berücksichtigen. Ob es "fremde" Daten sind oder eigene, muss und darf dabei nicht unterschieden werden.

Auch ist das Ziel nicht allein das Verhindern von Schadcodeeinschleusung, sondern dass die Daten generell den Regeln gemäß und damit wie gewünscht in den Ausgabekontext eingebettet werden. Dass Schadcode keine Auswirkungen hat, wenn er wie sämtliche andere Daten auch behandelt wird, ist dabei quasi eine (erwünschte) Nebenwirkung.

dedlfix.