Tach!

Du darfst NIEMALS Nutzereingaben unbehandelt in HTML ausgeben, sonst reißt du Sicherheitslöcher auf groß wie Scheunentore.

Die reißt man sich auch, wenn man Daten unbehandelt verwendet, die keine Nutzereingaben sind. Ob sie in grauer Vorzeit Nutzereingaben waren oder aus anderen Quellen stammen, spielt dabei keine Rolle. Das sollte man auch nicht beachten müssen. Zu komplex werden die Bearbeitungsschritte, als dass es noch sinnvoll ist, bei der Ausgabe für jedes Bit dessen Herkunft zu kennen. Ankommende Daten sollten lediglich inhaltlich überprüft werden und gegebenenfalls in ihre Rohform überführt werden, also zum Beispiel von Maskierungszeichen bereinigt werden, wenn sie für irgendwelche Transportmechanismen damit bestückt waren.

Immer den Kontextwechsel beachten:

Eben, _immer_, nicht nur bei bestimmten Daten. Die Einführung des Artikels kann man ruhig auch lesen, also: Kontextwechsel.

dedlfix.