Om nah hoo pez nyeetz, Sturmverliebt!
Nicht nur die, sondern ALLE Ausgaben. Auch die, die aus anderen Quellen kommen. Denn wie Matthias gezeigt hat, genügt es ja schon, wenn in der Ausgabe ein unmaskiertes '<' auftritt - schon ist der HTML-Parser des Browsers aufs Glatteis geführt und die Ausgabe ist insgesamt Schrott.
Wie sieht es aus wenn ich eine eMail verschicke. Muss ich das htmlspecialchars auf die Felder anwenden die ich verschicke oder regelt dieses mein Mail Programm für mich?
Lies dies aufmerksam.
Matthias