TWK Hett
Дело в том что нужно хранить именно HTML. Со страницами наверное так. храню в чистом виде и вывожу как есть.

авторЕсли даже в каком-то одном месте вы не будете эскейпить данные, то написать уязвимость будет не проблема.
Не понял это, можете пожалуйста объяснить ?да все просто - запрос к БД с полученными от клиента непроверенными данными - всегда опасен.

TWK asws
Но многие CMS позволяют редактировать/сохранять контент страницы именно в html виде. то есть например контент страницы они не преобразует с htmlspecialchars на выходе, а любые другие данные преобразуют. так ?

или Сохранять данные именно в html виде все данные которые выбрались и ушли рендериться необходимо пропускать через htmlspecialchars ? но тогда как какие-то данные отобразить отрендереным html ? ведь при выборке данные уже обработаются этим htmlspecialcharsЛучше точно знать, что и как та-или-иная CMS делает, лично я всегда смотрю исходный код, а он у многих платных CMS открыт, и обязательно структуру БД.
В любом случае - все известные CMS постоянно обновляют версии, поскольку появляются новые методы их взлома.
Лично я практикую изменение кода в некоторых местах или расширение под свои нужды.

Есть компании, предлагающие свои решения + CMS - конструктор, донастраиваемый на конкретный проект, например, inDynamics.
Это отличный вариант для платежеспособных клиентов - получают как правило то, что хотят, за деньги, разумеется.

Это не реклама, например наша организация для одного своего клиента сменила CMS inDynamics на собственную систему,
поскольку клиенту часто нужны изменения, причем иногда - довольно серьезные, и мы организавали этому клиенту полную автоматизацию на своей системе (летает быстро и легко),
да и еще некоторые учетные системы этого клиента перенесли со старого метода работы с XLS-файлами по почте -
- на новые веб-проекты, где намного удобнее вести совместную работу, и т.д. и т.п.

TWK, почитайте про SQL-инъекции, если еще не читали.

TWK,

Приведите корректный тестовый пример.