访问 MySQL 的应用程序不应信任用户输入的任何数据，用户可能会尝试通过在 Web 表单、URL 或您构建的任何应用程序中输入特殊或转义字符序列来欺骗您的代码。如果用户试图通过在表单中输入类似 ; DROP DATABASE mysql; 的内容来执行 SQL 注入，请确保您的应用程序仍然安全。这是一个极端的例子，但如果您不做好准备，黑客使用类似的技术可能会导致大规模的安全漏洞和数据丢失。

一个常见的错误是只保护字符串数据值。请记住也要检查数字数据。如果应用程序在用户输入值 234 时生成查询 SELECT * FROM table WHERE ID=234，则用户可以输入值 234 OR 1=1，使应用程序生成查询 SELECT * FROM table WHERE ID=234 OR 1=1。结果，服务器将检索表中的每一行。这将暴露所有行并导致服务器负载过大。防止此类攻击的最简单方法是在数字常量周围使用单引号：SELECT * FROM table WHERE ID='234'。如果用户输入了额外的信息，它们都将成为字符串的一部分。在数字上下文中，MySQL 会自动将此字符串转换为数字，并从中删除任何尾随的非数字字符。

有时人们认为，如果数据库只包含公开可用的数据，就不需要保护它。这是不正确的。即使允许显示数据库中的任何行，您仍然应该防止拒绝服务攻击（例如，那些基于上一段中导致服务器浪费资源的技术）。否则，您的服务器将无法响应合法用户。

检查表

许多应用程序编程接口提供了一种转义数据值中特殊字符的方法。如果使用得当，这可以防止应用程序用户输入导致应用程序生成与您预期效果不同的语句的值。

其他编程接口可能具有类似的功能。

应用程序负责拦截因使用 MySQL 数据库服务器执行 SQL 语句而发生的错误，并对其进行适当处理。

MySQL 错误中返回的信息并非无关紧要，因为这些信息是在使用应用程序调试 MySQL 时至关重要的。例如，如果不提供有关哪些数据库、表和其他对象与问题相关的信息，几乎不可能调试常见的 10 路连接 SELECT 语句。因此，MySQL 错误有时必须包含对这些对象名称的引用。

当应用程序收到来自 MySQL 的此类错误时，一种简单但不安全的方法是拦截它并将其逐字显示给客户端。但是，泄露错误信息是一种已知的应用程序漏洞类型 (CWE-209)，应用程序开发人员必须确保应用程序没有此漏洞。

例如，显示如下消息的应用程序会将数据库名称和表名都暴露给客户端，而客户端可能会尝试利用这些信息

ERROR 1146 (42S02): Table 'mydb.mytable' doesn't exist

相反，当应用程序收到来自 MySQL 的此类错误时，正确的行为是将适当的信息（包括错误信息）记录到只有受信任人员才能访问的安全审计位置。应用程序可以向用户返回更通用的内容，例如““内部错误””。