Du musst die Behandlung erst vornehmen, wenn du Userinput im HTML Kontext ausgibst.
Nicht nur Userinput. Es ist egal, woher die Werte kommen. Wenn sie nicht entprechend behandelt werden, werden sie vom Empfänger fehlinterpretiert. Das Augenmerk darf also nicht nur auf Eingabedaten liegen sondern muss vielmehr auf die Ausgabedaten gelegt werden.

Heute hast du den Drang zum Fenstersturz. Halt ein!

Es kommt auf den Datentyp an. Sonst wären Templates unmöglich.

mfg Beat