Tach,

das widerspricht allerdings dem Standpunkt von Security by Design, weil bei allen späteren Änderungen am Code überprüft werden muss, ob diese Annahme auch jetzt noch gilt. Das hieße, dass man echo immer mit htmlspecialchars() verwenden sollte, nie ohne.

Also dass es echo als solches gar nicht geben sollte.

nein, schließlich gibt man mit PHP nicht ausschließlich (HTML-)Quellcode aus, der wieder interpretiert wird.

Also nie echo verwenden, sondern stets printSanitized()

function printSanitized($output)
{
  print htmlspecialchars($output);
}

Richtig?

Das würde funktionieren (allerdings nur für HTML, das sollte der Funktionsname dann auch wiederspiegeln), für eine gemischte Ausgabe wäre eine Template-Engine eh zu empfehlen (bevorzugt eine, die mir auch gleich das Escaping abnimmt).

mfg
Woodfighter