Tach!

Das ist ein Test: <?=htmlspecialchars($var)?>

Somit wird auch gleich noch der Kontextwechsel beachtet.

Welcher Kontextwechsel?

Warum sollte man htmlspecialchars() anwenden, wenn man eine Textdatei (-ressource? Na jedenfalls text/plain) generiert?

Welche Textressource?

Dass da eine Textdatei inkludiert wird, heißt nicht automatisch, dass die Ausgabe des Scripts text/plain ist. Allerdings kann man aus dem gegebenen Beispiel gar nicht entnehmen, von welchem Content-Type die Ausgabe ist. Eine eventuell vorhandener header()-Aufruf wird nicht gezeigt. Ich ging vom Default-Wert text/html aus. Muss nicht der Fall sein, aber da kann der OP ja auch intervenieren, wenn das nicht der Fall ist.

dedlfix.