ありがとうございます。 とりあえずphpの関数自体の脆弱性は考えず、 自分の中のデフォルト値のようなものを設定して、 それ以上のものははねてしまうというところで納得しときます。 みなさんありがとうございました。 p.s. 泉田隼人さんへ NAKAMITSUさんも書いておられますが、 「Webから送信されるデータ」は「汚染されている」「他のサーバーから 悪意を持って送られている」と思って処理した方が良いようです。 自分が作ったページから送信されているとは限らないからです。 ...というのを最近知りまして、一応自分のスクリプトもセキュリティ 向上を頭において作るようにし始めたのですが、どこまでやれば良いのやら。 「性悪説」で、不必要なタグ、コマンドの埋め込みや文字列長の制限は どのような場合でも処置した方が良いようですよ。