＞やはり、javascriptの引数に入れる際に、こういったものは変換（\'などに）ではなく、削除してしまうのがベストということでしょうか。 $valueが、商品IDなどのように決まった文字（A-Za-z0-9など無害なやつ）しか含まれないケースでは、サーバサイドで入力チェックを行ない、それ以外の文字以外が含まれている場合はエラーとします。 このような場合、素直に<html><body>エラー</body></html>みたいな画面を返してしまうのがよいと思います。まずいやり方は、危険な文字のみを削除してHTML（onclick）の中に埋め込む、という方法です。以下のように、属性値内のシングルクォートの表現には色んなものがあるため、大抵削除の漏れが出ます。 ’ ＆＃３９； ＆＃０００００００３９； ＆＃ｘ２７； ＆＃Ｘ００２７；　（大文字のＸ） ＆＃０００３９　（；が無いパターン） ＆●＃●３●９●；　（●はNUL文字、多分IEのみ） ＜全部全角で書いてます＞ $valueに、様々な文字が入ることを正常系として想定しなければならないケースでは、以下のような方法を取ることがあります。 echo '<input type="hidden" name="foo" value="'. htmlspecialchars($value). '">'; echo '<img src="ｈttp://.." onclick="myfunc(document.forms[x].foo.value)" />';