Aloha ;)

Ich gebe dir Recht, außer...

Wenn du Daten nicht entsprechend ihres Zielkontextes behandelst, dann reißt du dir Sichheitslücken auf. In diesem Fall wäre das Risiko keine SQL-Injection, wie in dem xkcd-Comic, sondern eine JavaScript-Injection.

...hier. Es ist Aufgabe des Programmierers, sicherzustellen, dass hier nur Inhalte inkludiert werden, über die er die Kontrolle besitzt - zumindest hinsichtlich dessen, ob darin Javascript-String-Delimiter vorkommen oder nicht. Natürlich existiert dieses Risiko. So wie fast immer - man sollte sich grundsätzlich Gedanken machen, ob potenziell schädliche Inhalte eingefügt werden, von dem Punkt ab, an dem man beginnt mit PHP zu arbeiten. Du hast Recht, wenn du von einem Risiko sprichst. Dieses ist aber weder so groß noch so unvorhersehbar, wie es sich für mich beim ersten Lesen dieser Passage angehört hat ;)

Allgemine Lösungen sind bekanntlich wiederverwendbar und damit mit weniger Aufwand als möglich verbunden ;)

Nur, wenn das System inndiese Richtung erweitert werden soll. Wenn eine Erweiterung in diese Richtung nicht vorgesehen ist, ist eine allgemeine Lösung aufwendiger ;)

Aber wie gesagt, deine Argumente sind allgemein schon richtig.

Grüße,

RIDER