Hallo,
Du darfst niemals Daten, die Schadcode einschleusen könnten, unbehandelt mit PHP in HTML-Quelltext schreiben.
Warum so einschränkend? Und wie willst du die Daten unterscheiden? Hast du ein Kriterium, wann Daten Schadcode einschleusen können und wann nicht?
Es ist die Begründung: Du darfst niemals Daten unbehandelt mit PHP in HTML-Quelltext schreiben, weil sie Schadcode enthalten könnten!
Gruß
Kalk