SQLインジェクション バインド変数を利用する フレームワークを利用する(勝手にエスケープしてくれる) domによる表示箇所のxss対策 jqueryの「text」関数を使って作る → 勝手にエスケープしてくれる http://d.hatena.ne.jp/ockeghem/20110905/p1 例1 $("#name").text(res); 文字列の入力(resがユーザー入力値の場合) 例2 $("<td>").text(res); 要素の入力(resがdomの場合) PHPのjson_encode関数を使ってjsonを作る → 勝手にエスケープしてくれる 上記関数を使わない場合は、evalインジェクション&引用符エスケープする var res = eval("("+out+")"); → jsonを囲んでいるブレースがブロックと解釈されるのを防ぐ ユーザーの入力値を$()に直接