Moin!
Hallo.
Das klingt schon vernünftig, was Du schreibst. Es war auch mehr eine theoretische Frage. Von der CPU-Beanspruchung her gesehen ist das Escapen natürlich kein Ding. Aber es ist eben mehr Schreibaufwand (schwaches Argument!?). Weiterhin halte ich manche Dinge, wie sie in Standardtutorials genannt werden, für schwachsinnig. Du erwähntest htmlspecialchars, was Du routinemäßig bei der HTML-Ausgabe anwendest. Auch da könnte man natürlich wieder argumentieren, bei einzig erlaubten Zeichen [a-z] ist das nicht nötig. Darauf will ich aber gar nicht hinaus, das mache ich im Grunde nämlich genauso (mit derselben Überlegung, die Du zum Escapen von SQL-Eingaben vorgetragen hast, daß es zuviel Aufwand macht, sich jedes mal den Kopf zu zerbrechen, ob eine Maskierung mit htmlspecialchars notwendig ist oder nicht). Was ich sagen will, ist, in Tutorials werden oft auch völlig sinnfreie Behauptungen aufgestellt, die sich zu Mythen verselbständigen, weil die Leute nicht selbst darüber nachdenken und das eine Tutorial vom anderen kopiert. Z. B. wird oft strip_tags empfohlen. Das ist völlig unnötig, wenn Du Ausgaben mit htmlspecialchars maskierst, und obendrein kontraproduktiv, weil der Befehl unzuverlässig arbeitet und schon mal mehr entfernt als gewollt. Die Praxis hat mich gelehrt, auf diesen Befehl zu verzichten. Und deshalb habe ich mir überlegt, ob es wirklich Sinn macht, den mannigfaltigen Tutorials Glauben zu schenken, Eingaben stets vorm Eintragen in eine Datenbank zu escapen.