n'Abend,

Wenn wir schon beim Thema „htmlspecialchars“ sind, müssen die auch genutzt werden, wenn man Daten die durch ein POST kommen an eine Funktion übergibt?

nein, vielleicht hast du den eigentlichen Knackpunkt immer noch nicht verstanden:

Daten müssen, egal woher sie kommen, immer für den Kontext passend aufbereitet werden, in den sie überführt werden sollen. Für viele dieser Aufbereitungen bietet PHP fertige Funktionen, so ist htmlspecialchars() beispielsweise dafür da, Daten so aufzubereiten, dass sie ohne böse Nebenwirkungen als HTML ausgegeben werden können.

$produkt_suche = produkt_suche($mysqli, $_POST["hersteller"], $_POST["serien"], $_POST["geraete"]);

Diese Funktion scheint etwas mit einer mySQL-Datenbank zu machen. Sie sollte daher intern(!) die Daten für SQL entsprechend aufbereiten, etwa mit mysql_real_escape_string(), wenn es Strings sind. Von außen sollte sie aber möglichst unverfälschte Rohdaten bekommen.

So long,
 Martin