Hallo,
nochmal zum mitschreiben:
- json_encode escaped die Sonderzeichen für Javascript (als Nebeneffekt, da JSON gültiges JS ist).
- json_encode escaped nicht die Sonderzeichen von Javascript in HTML. Da gibt es genau eines (</script>). Das muss separat behandelt werden.
Es geht nicht um ein komplettes HTML-Escape, nur um </script>.
tl;dr: Sonderzeichen von Javascript sind eine echte Teilmenge der Sonderzeichen von Javascript in HTML.
Viele Grüße Matti