http://php.benscom.com/manual/ja/info.configuration.php#ini.magic-quotes-gpc もしかするとコレが原因かもしれません。 PHPには、Get/Post/Cookieの値がそれぞれの変数に格納される前に、自動的にエスケープ処理を行う設定があります。 php.iniでその項目を無効にするか、PHPスクリプト上で、変数に格納された値一つ一つを、stripslashes関数でエスケープされた文字を解除する必要があります。 http://php.benscom.com/manual/ja/function.get-magic-quotes-gpc.php こちらのページのユーザ投稿の一番最初の「stripper」関数の投稿が参考になると思います。 流れは、もしget_magic_quotes_gpc関数にてGPCのエスケープを行う設定になっているのが確認されたら、stripslashes関数にて、エスケープを解除する というプログラムです。

＞http://www.​○○○.jp/'​http://www.​○○○.jp/' 入力したタグの中に全角とか混ざってませんか？ 自宅の環境で同様にやってみましたが特に問題なく表示されるようでした。 一度取得したHTMLをブラウザの「ソース表示」などで確認し、テキストエディタなど、HTMLの色分されたり、全半角のスペースなどが記号で表現されるようなもので見てみてはいかがでしょうか。

■XSS対策に関して inputタグのvalue要素の囲い文字を「"(ダブルクオート)」としている場合には、 <input type="text" name="hoge" value="<?php echo htmlspecialchars($_POST['hoge'])?>" /> とすればOKです。（textareaでも同様） 実際に、<input type="text" name="hoge" value="&lt;font color='red'&gt;UNKO&lt;/font&gt;" /> とハードコーディングしてから、POST値をそのままechoなどで出力してみてください。エンコードした文字が戻ってタグとして認識されているのが分かると思います。 ■SQLインジェクション対策にかんして OKbokuzyoさんの仰るとおり、プリペアドステートメントを利用するのが良いと思います。 ただ、提示されたURLのようにSQL文として記述するよりは、PDOクラスなどで実装されているprepareメソッドなどを活用されたほうが、今後MySQLをPostgreSQLに変更する際などに以降しやすいと思いますので、PDOクラスの使い方を調べたほうがよさそうです。 尚、標準のmysql関数でエスケープする方法は、下記 <?php $escape_str = mysql_real_escape_string($_POST['hoge']); ?> 尚、POSTされた値とDBの文字エンコードが違う場合には、関数に流し込む前に文字コードを変換しておく必要があります。（これはPDOのPrepareなどでも同様）

>タグをつけたままDBへ保存するというのはセキュリティとしてはよくないのではと思う タグを付けたままDBへ保存するのが問題なのではなく、 タグとして認識される危険性をはらんだままデータを取り扱うことが問題なのです。 タグとして認識されることを避けるため、 通常「<」や「>」（あとエスケープの関係で「&」も）という文字は エスケープを行いますが、このときエスケープをDB格納前に行うのか あるいはデータの利用前に行うのかはどちらでも良いことです。 >SQLインジェクションなどの攻撃の対策 上記同様にデータのエスケープを行っても良いのですが SQLインジェクションの対策にはプリペアードステートメントを利用することが一般的です。 具体的には下記サイト等を参考にしてください。 http://www.thinkit.co.jp/cert/books/2/3/1/3.htm