通常の三倍のひろみちゅが。と思ったらすでにブクマ済みだったとは。
　
　http://itpro.nikkeibp.co.jp/article/COLUMN/20070206/260901/?ST=security&P=1
　対策が・・・
　
　基本的に真っ当な「出力」（データの引渡し）をしていれば問題はありません。
　データの引渡し先の相手に適合するフォーマットにしておくことが肝心というわけですな。
　
　相手が「コマンドライン」ならシェルのメタキャラクタをエスケープしておく。
　相手が「データベースエンジン」ならSQLのメタキャラクタをエスケープしておく。
　相手が「ブラウザ」ならHTMLの後略。
　
　出力先がCSVならカンマ含んだデータをダブルクォーテーションで囲むだろ？そういうことっすよ。
　
　
　ちなみに原理についてはもうアレすぎるので放置。確かに出力時のバグって点では同じだけど、それ以外の部分が全部違うだろ。