@@woodfighter

Daten, die im Script selbst berechnet werden (und keine Strings sind), können keinen Schadcode einschleusen.

das widerspricht allerdings dem Standpunkt von Security by Design, weil bei allen späteren Änderungen am Code überprüft werden muss, ob diese Annahme auch jetzt noch gilt.

Das hieße, dass man echo immer mit htmlspecialchars() verwenden sollte, nie ohne.

Also dass es echo als solches gar nicht geben sollte.

Also nie echo verwenden, sondern stets printSanitized()

function printSanitized($output)
{
  print htmlspecialchars($output);
}

Richtig?

LLAP 🖖