Der Antwort von pq ist kaum noch was hinzuzufügen, ausser "hör auf ihren Rat". Ich hab mal bei perlmonks nach default_escape für Template Toolkit gefragt und wurde fast ignoriert (so wenige Antworten auf nicht-triviale Fragen von mir hatte ich noch nie bekommen).

Während fast jeder ordentliche Perl-Hacker bei Datenbanken zu Placeholdern rät, ist das Bewußtsein für XSS leider noch nicht so verbreitet - vermutlich weil keine Datenbanken schaden nehmen, sondern nur der Besucher.