Я все еще не уверен в этом. Пока он включен, мы довольно безопасны, но появляются некоторые другие проблемы (с передачей переменных шаблона или подсчетом символов). С другой стороны, у нас отключена магия, все понятно, но мы должны вручную экранировать каждую переменную (полученную из ненадежного источника) в шаблонах. Кстати, немагическое решение используется в Ruby-on-Rails.
Итак, вопрос: при запуске нового проекта в Symfony вы отключаете escaping_strategy и почему?