Hi,

Hier geht es aber nicht um URL-Escaping, sondern um HTML-Escaping.

Achso, es ist also Aufgabe des Browsers, aus dem (korrekt escapten) HTML einen (korrekt escapten) URL zu machen? Ich bin bislang davon ausgegangen, dass das, was z.B. in <a href="boxerverbessern.php?BoxerID=123&Skill=aggressiv"> in den Anführungszeichen steht, ein URL ist

Ist es ja auch.

Aber es geht doch nicht darum, dem Zeichen & in der URL seine Sonderbedeutung "Parametertrenner" wegzunehmen, sondern es geht darum, dem Zeichen & im HTML-Attribut seine Sonderbedeutung "Anfang einer Character-Entity" oder "Anfang einer numerischen Zeichenreferenz" wegzunehmen.

(steht nämlich auch so in http://de.selfhtml.org/html/referenz/attribute.htm#a@title=SELFHTML: href "gibt das Verweisziel (nach RFC 2396) an" (obsolet durch RFC 3986))und deshalb auch so zu escapen ist.

Stünde die URL in einem title-Attribut, müßte dennoch das & HTML-escaped werden. Auch wenn die URL dort aus HTML-Sicht nur einfacher Text ist.

cu,
Andreas