Moin,

Mit "Sicherheit" habe ich mich vermutlich noch nicht ausreichend befasst, schütze das vor Hackereingaben (diese Seite ist tief vergraben auf dem Server) lediglich mit

htmlspecialchars($_POST);

Das schützt eigentlich nur vor funktionierendem Code, denn htmlspecialchars akzeptiert kein Array, sondern nur einen String als ersten Parameter. Und es maskiert lediglich einige Zeichen, die im HTML-Kontext eine besondere Bedeutung haben. Wenn deine Daten in einem anderen Kontext landen, brauchst du den passenden Kontextwechsel.

Viele Grüße
Robert