JavaScript に埋め込む場合は、PHP 5.2.0 以降なら、json_encode が追加されている。それ以前なら自前で用意するしかない。

SQLインジェクション以前に HTML 文書中に > < & を埋め込んでるようなら出直して来いって話。同様に、SQL で `message`='it's up to you.' なんて書くやつもいない。 htmlspecialchars はあくまで HTML の文法に従うために、同様に、mysql_real_escape_string は MySQL の文法に従うために[文字列に対して]用いる。 それが分かっていれば迷うことはない。それら関数の存在意義はただそれだけ。 以下余談。 上が分かっていれば # htmlspecialchars には ENT_QUOTES をした後 addslashes しておく必要がある なんて話は出てこない。実際始めて聞いて、読んで愕然。 もう一度言う htmlspecialchars は HTML の PCDATA に対して用いられるもので、JavaScript に対して用いられるものではない。 ENT_QUOTES での統一は、わざわざ切り替えるのが面倒だから、ということを意識して使うようにしたい。統一したところでさほど問題にならない、というだけ。 # マルチバイト文字の問題 くだらなすぎる。知らない人もいるから仕方ないけど。 そもそも、mb_ 以外はほとんど、シングルバイト関数。マルチバイトに対して用いる時点で問題が起こるのは当たり前だろう。UTF-8 でお茶を濁すこともあるけど、それと知って使うようにしたい。 参照先はあまり参考になるとは思えません。オリジナルリソースを読むなり、もう少しましな参考サイト、書籍を探してみてください。