Hi,

Die kontextgerechte Behandlung von Daten muss genau dann stattfinden, wenn man die Daten in den jeweiligen Kontext bringt, nicht Ewigkeiten vorher.
das heißt also, dass ich selbst bei solchen Ausgaben <?php echo $Preise_Stunde;?> (hier geht es um einen Preisangabe, die durch den User getätigt wurde) die htmlspecialchars verwenden sollte (muss)?

ja, konsequenterweise schon.
Wenn du aufgrund der Programmlogik absolut sicher sein kannst, dass da z.B. nur Zahlenwerte vorkommen, dann wäre diese Maskierung zwar nicht zwingend nötig, schadet aber auch nicht. Besser, man gewöhnt sich an, *immer* zu maskieren, als "nur bei Bedarf", und dann vergisst man's aus Nachlässigkeit doch wieder an einer Stelle, wo's weh tut.

Wenn ja nehme ich an, ALLE Einträge die durch einen User getätigt wurden müssen mit htmlspecialchars versehen werden, richtig?

Nicht nur die, sondern ALLE Ausgaben. Auch die, die aus anderen Quellen kommen. Denn wie Matthias gezeigt hat, genügt es ja schon, wenn in der Ausgabe ein unmaskiertes '<' auftritt - schon ist der HTML-Parser des Browsers aufs Glatteis geführt und die Ausgabe ist insgesamt Schrott.

So long,
 Martin