Die Ausgabe des Strings auf die HTML-Ausgabe kann aber bestenfalls Irritationen beim Browser verursachen, wenn Du nicht das htmlspecialchars() benutzt.

Bei php-Code wird es wohl so sein, anderes kann aber schlimmere Folgen haben, auch wenn die ohne Speicherung nur den betreffen, der die Daten geschickt hat. Hm oder jemanden, der sich danach an das Browserfenster setzt.