4. Texte aus deiner Datenbank müssen bei der Ausgabe in HTML mit htmlspecialchars() kontextgerecht codiert werden

Nicht nur Texte aus der Datenbank. Alle Texte, die potenziell HTML-Sonderzeichen enthalten können, die aber nicht als solche interpretiert werden sollen.