Eigene CSS Regeln einbinden

Das htmlspecialchars brauchts weil grundsätzlich jede Benutzereingabe als unsicher zu bewerten ist.
Gerade die < und > könnte man dazu nutzen zB ein reinzutun.
Die Anführungszeichen sollten aber kein Problem sein. Die kann ich mit dem ENT_NOQUOTES durchlassen.

klar, die script Gefahr kenne ich, aber kann denn bei der Einbindung als CSS
(innerhalb eines Style tags) überhaupt etwas etwas passieren?
(ok, gerade im Beispiel gesehen, man könnte ja style beenden)

aber das Eingabefeld ist ja nicht öffentlich, sondern backend,
da sollte derjenige schon wissen was er tut

ansonsten würde zum "vollen" Glück ja ein Ersetzen des Kind-Selektor genügen das öffnende &lt; wird ja in css gar nicht benötigt.

Der Zugriff auf die Template Einstellungen ist konfigurierbar. Das muss nicht unbedingt ein Super User sein. Und genau so werden dann Seiten gehackt

Ich denke mal die Quotes sind für dieses Feld völlig ausreichend da man sowieso primär die user.css nutzen sollte.

Sali Thomas, ginge hier wie früher auch eine custom.less. Oder muss die jetzt user.css heissen?

Musste eh grad feststellen, das beim neuen Templates die Daten an anderen Orten sind als früher mal

Die muss user.css heissen.
Und ja die Dateien sind etwas anders platziert.
Das hängt mit dem neuen Joomla Feature "Child Template" zusammen.

Musste auch feststellen, dass es besser geht, die Aenderungen in eine user.css zu schreiben als bei den Templateeinstellungen. Aus irgendwelchen Gründen nimmt es mit dort nicht jeden Code. Bzw. ändert dann nichts. Das Gleiche im user.css funktioniert aber. Warum auch immer