Tach!

Erst ganz unten im Artikel (d.h. ein an SQL nicht Interessierter wird gar nicht bis dorthin kommen) findet sich ein Link zur Fortsetzung Kontextwechsel erkennen und behandeln. Dort erst wird auf htmlspecialchars() eingegangen. Allerdings ohne die Problematik XSS-Injections zu erwähnen. Es wird lediglich gesagt, wie man Ausgaben in HTML behandeln _kann_; kein Wort darüber, warum man das tun _muss_.

Deswegen gibt es ja den Einführungsteil, der beschreibt die generelle Problematik und zeigt auch was passiert, wenn man das nicht macht. Daraus ergibt sich von selbst, dass man was tun muss, wenn man dieses Problem nicht haben möchte. Als (Haupt-)Autor liegt es mir fern, dem Leser Vorschriften zu machen. Ich zeige das Problem und beschreibe Wege, die man zur Vermeidung tun kann. Es ist kein Muss, die Funktion htmlspecialchars() zu verwenden. Je nach Framework/Umgebung kann es da andere Wege geben.

Fazit: Die Artikel zum Kontextwechsel sind wenig geeignet, Anfängern (und unwissenden Fortgeschrittenen) die Problematik zu vermitteln. Sie sollten grundlegend überarbeitet werden.

Und nun bitte die konstruktiven Vorschläge. Zum Beispiel eine 140-Zeichen-TL;DR-Fassung.

dedlfix.