Tach!

Hab ich doch auch schon so oft gesagt: Es kommt nicht auf die Herkunft an! Man muss bei jeglichen Daten den Ausgabekontext berücksichtigen. Ob es "fremde" Daten sind oder eigene, muss und darf dabei nicht unterschieden werden.

In Ausnahmefällen kann die Unterscheidung nach "fremde / eigene Daten" nötig sein. Z.B. wenn ein Inhalt aus einem CMS (gepflegt durch Backend-Redakteure) kommt, will man evtl. HTML ausgeben. Kommt der Inhalt aus einem Kommantarfeld eines profanen Users, will man mituntender doch stupide escapen.

Njein, man muss dabei nicht nach eigen oder fremd unterscheiden, sondern nach der Art der Daten und der Aufgabenstellung. Je nachdem ändert sich dann der Kontext. Ist die Aufgabenstellung zum Beispiel HTML in HTML einzufügen, dann ist das keine Ausnahme, sondern eine andere Aufgabenstellung / ein anderer Kontext als Text-Daten in HTML einzufügen. Dass dabei andere Regeln gelten (die man nicht mit htmlspecialchars() erfüllen kann), ist nur logische Fortsetzung.

Von "stupide" irgendwelchen Regen zu folgen, halte ich nichts, besonders nicht beim Programmieren. Vielmehr empfehle ich, dass man sich bewusst ist oder macht, warum man eine bestimmte Regel in einer bestimmten Situation befolgt - oder auch nicht.

dedlfix.