En el caso de un valor que nos viene de la base de datos, desde PHP:
<input type="hidden" name="pLitLink[$i]" id="pLitLink" value="<?php echo htmlentities($vLitLink, ENT_QUOTES, 'UTF-8'); ?>">;
Escapamos las comillas dobles.
Al introducir contenido desde javascript
theFirstTD1.innerHTML = ' <input type=\"hidden\" name=\"pLitLink['+ numLinks +']\" id=\"pLitLink\" value=\"'+ theForm.fLit.value.replace(/"/g, '"') +'\">';
Utilizamos comillas simples para value.
Antes de insertarlos en la base de datos:
if (!get_magic_quotes_gpc()) { for ($i=0;$i<count($pURLLink);$i++){ $pURLLink[$i]=addslashes(trim($pURLLink[$i])); } }
Escapamos variables en caso de que no haga directamente PHP.
Al crear la sql:
$insertItem = "INSERT INTO linksarticles (nIdArticle,vchLitLink,vchURLLink) VALUES ($nIdArticle,'$aLitLinks[$i]','$aURLLinks[$i]') ";