Tach!

In jedem Fall, egal wie herum geschachtelt, htmlspecialchars() nicht vergessen!

auch bei Daten, die ich durch eine API abrufe?

Immer, wenn man Text in HTML einfügt (den man nicht selbst als Literal in den Code geschrieben hat und der nachweislich keine HTML-spezifischen Zeichen enthält).

Ich dachte immer htmlspecialchars() kommt nur zum Einsatz, wenn User Daten eingeben.

Es ist irrelevant, wo die Daten herkommen. Auch nicht von Usern eingegebener Text kann Zeichen enthalten, die für HTML maskiert werden müssen. Die Funktion heißt htmlspecialchars und nicht sanitizeUserInput. Ihre Aufgabe ist nicht, Nutzereingaben zu entschärfen, sondern Text HTML-gerecht aufzubereiten.

In diesem Fall hole ich mir Daten von Google also kann keiner dazwischenfunken und mir etwas unterjubeln?

Ist auch egal. Wenn Google kein HTML liefert sondern Text, ist das quasi Pflicht. Selbst dann, wenn nach Art der Daten keine HTML-spezifischen Zeichen enthalten sein können, sollte man hier nicht am falschen Ende sparen.

dedlfix.