SQL文中で使われている値が固定の値として記述している場合は問題無いですが、例えばフォームなどから条件を入力してもらってSQL文を作成する時に、SQLインジェクション攻撃などを防ぐ為にパラメータをエスケープしておく必要があります。 SQLiteの場合には「sqlite_escape_string」関数を使います。 sqlite_escape_string() は、 item で指定した文字列を SQLite SQLステートメ ントで使用できるように正しくクオートします。 この際、シングルクオート(') は2重にされ、 クエリ文字列のバイナリセーフでない文字がチェックされます。 引数: item エスケープするテキスト文字列。 返り値: エスケープされたデータを文字列で返します。 具体的には例えばINSERTする値にシングルクォーテーション(')などが含まれていた場合SQL文がおかしくなって