Wo wäre das Skript aber sicherheitskritisch?

Da, wo du die Funktion irgendwann mal von einer anderen Stelle aufrufst und dabei vergisst, dass das Maskieren bereits vor dem Aufruf passieren muss. Oder jemand schleust bösen Code ein udn nutzt diese Funktion für eine Injection, da sie nicht  Maskiert.

Grundsätzlich sollte eine Funktion selbst dafür sorgen dass die übergeben Daten keinen Schaden anrichten können. Sich auf andere zu verlassen (hier die Funktion auf den Aufruf) ist immer ein Glücksspiel, da die Funktion nie wissen kann, ob die Daten selbst nicht böse sind.