Ich glaube einige scheinen hier etwas durcheinander zu bringen. Egal welche Zeichenkodierung beziehungsweise welcher Zeichensatz verwendet wird: die HTML-Metazeichen müssen, sollen sie ihrer Funktion als Metazeichen enthoben werden, durch Zeichenreferenzen ersetzt werden.
Die HTML-Regeln sind aufgrund ihrer SGML-Wurzeln zwar etwas freigiebiger (so ist etwa „Foobar & Co.“ gültig, da auf das &-Zeichen, das eine Zeichenreferenz einleitet, ein Leerzeichen folgt), doch wer schon mal mit XML oder eben
richtigem XHTML gearbeitet hat, wird es schon verinnerlicht haben.
Ach ja: das Nichtmaskieren von Metazeichen ist übrigens die Hauptursache der meisten Sicherheitslücken von Webanwendungen. (Jetzt werden alle sicherlich hellhörig.) Stichwörter dafür sind etwa
Cross-Site Scripting oder
SQL-Injektionen.