Hi,

warum soll er beim echo einer Variable für Cross-Site Scriptiong anfällig sein?

Wird z.B. eine Attacke in Form von
"a"; boese_Attacke;
dann wird halt eben dieser Text ausgegeben und nicht boese_Attacke ausgeführt.

Das escapen ist hauptsächlich für Datenbank-Aktionen und für auszuführende Variablen notwendig (eval)

grieß