対策 (1)HTMLサニタイズ法 ・文字列を出力する直前に、htmlspecialchars(変数, ENT_QUOTES)をかけます。 第2パラメータのENT_QUOTESを省略すると、シングルクォーテーションが処理されません。 echo htmlspecialchars($_GET['message'], ENT_QUOTES) ・属性値にURLを渡す場合などに、「javascript:」という形でJavaScriptが埋め込まれることがあるので、 preg_replace()関数で、「javascript」を除去します。 また、Internet Explorerのバグで(仕様?)、「javascirpt:」という文字列の間に\0,\t,\r,\nなどのコントロールコードが入っていてもJavaScriptと見なすため、 それらの文字を除去する必要があります。 $url = preg_r