Lieber dedlfix,

Kontextwechsel [...] Wenn die Daten in der DB HTML-eigene Zeichen enthalten [...] kann das eine XSS-Lücke darstellen

da würde mich Deine Antwort generell interessieren:

Bist Du der Meinung, dass man bei Seiten, deren Inhalte nicht von Dir gepflegt werden, generell die "Natur" der Datenbankinhalte in Frage stellt, auch wenn diese Inhalte _keine_ HTML-eigenen Zeichen enthalten, da es sich um z.B. Preislisten oder ähnliches handelt, deren Eingabe nur von bestimmten Personen manuell vorgenommen werden können (mittels Login über eine entsprechend programmierte Maske usw.)? Oder würdest Du auch in einem solchen Falle sagen, dass ein solches Login in falsche Hände fallen könnte, wodurch dann die Maske auch keine ausreichende Sicherheit darstellte und XSS wieder möglich sei?

Liebe Grüße aus Ellwangen,

Felix Riesterer.