jQueryについて

• text()メソッド - エスケープされる。
• jQuery.get( url, data, callback ) - HTTP(GET)通信でページを読み込み
• get() - DOMエレメントの配列にアクセス
• html() - 最初の要素をHTML文字列で返す。組み込みであるinnerHTMLの値と同じ。
• empty() - 各要素の子要素を全て削除し、空にする。

同時にイベントハンドラや内部でキャッシュしているデータも削除する。

PHPについて

eval — 文字列を PHP コードとして評価する

XSSについて

XSSに関して

split関数で\タグで分けるのがいいみたい。
splitー指定した区切り文字で分割し、その結果を配列として返す
格納する配列名=文字列.split(区切文字)

通常のWebアプリケーションの場合、
HTMLで表示するパラメータのエスケープはサーバー側で行うしかないが、
Ajaxアプリの場合、以下の選択肢がある。

• サーバー側で予めHTMLエスケープしておく
• サーバーからは生データを送り、ブラウザ上のJavaScriptでエスケープする

http://d.hatena.ne.jp/ockeghem/20110905/p1
http://subtech.g.hatena.ne.jp/mala

referenceについて

文字実体参照（実体参照）
文字実体参照は、特定のキーワード文字列によって文書文字集合における該当文字を指定する方法

example

  ( ) ノーブレークスペース - 折り返しを起こさない（ホワイトスペースではない）空白
< (<)
> (>)
& (&)
" (")

数値文字参照（文字参照）
数値文字参照は、10進数もしくは16進数によって文書文字集合における該当文字をISO 10646の文字番号で指定する方法

example
「♪」（10進数による指定：♪）
「♪」（16進数による指定：♪）