Grundsätzlich (mal wieder) schön auf den Punkt gebracht. Aber:

Hab ich doch auch schon so oft gesagt: Es kommt nicht auf die Herkunft an! Man muss bei jeglichen Daten den Ausgabekontext berücksichtigen. Ob es "fremde" Daten sind oder eigene, muss und darf dabei nicht unterschieden werden.

In Ausnahmefällen kann die Unterscheidung nach "fremde / eigene Daten" nötig sein. Z.B. wenn ein Inhalt aus einem CMS (gepflegt durch Backend-Redakteure) kommt, will man evtl. HTML ausgeben. Kommt der Inhalt aus einem Kommantarfeld eines profanen Users, will man mituntender doch stupide escapen.

Auch ist das Ziel nicht allein das Verhindern von Schadcodeeinschleusung, sondern dass die Daten generell den Regeln gemäß und damit wie gewünscht in den Ausgabekontext eingebettet werden. Dass Schadcode keine Auswirkungen hat, wenn er wie sämtliche andere Daten auch behandelt wird, ist dabei quasi eine (erwünschte) Nebenwirkung.

ACK.