Hi,

nach meinen bisherigen Untersuchungen werden mit escapeHTML folgende (und nur diese) Zeichen codiert:   "  &  '  <  >.
Ist dies korrekt?

wenn mich meine Erinnerung nicht trügt: Ja.

Wenn ich Eingaben (z.B. im Gästebuch) in eine Datei speichere, ist dies am sinnvollsten in der Originalform oder wie oben codiert?

Originalform. Die Kodierung findet in genau dem Moment statt, in dem Du die Werte in einen Kontext bringst - ob dies ein HTML-Kontext ist, kannst Du vorher ja nicht wissen.

Wie ist eine URL-Angabe sinnvollerweise zu speichern?

In Originalform.

In einem Textarea-Feld kommen Zeilenvorschübe vor (X'0A0D'). Diese werden
offensichtlich mit escapeHTML nicht codiert, wie werden diese abgespeichert?

So wie sie sind.

Gibt es eine einfache Beschreibung/ein einfaches Beispiel das folgendes Szenario darstellt:

Es gibt eine einfache Regel:

Wenn Du einen Wert in einen Kontext bringst, musst Du ihn kontextspezifisch kodieren. Entnimmst Du einen Wert aus einem Kontext, musst Du ihn kontextspezifisch dekodieren.

Die Tatsache, dass ich mich gewöhnlich auf den ersten dieser beiden Sätze beschränke, beruht darauf, dass die Dekodierung in den meisten Fällen automatisch erfolgt.

Cheatah