访问 MySQL 的应用程序不应该信任用户输入的任何数据，他们可以通过在 Web 表单、URL 或您构建的任何应用程序中输入特殊或转义字符序列来尝试欺骗您的代码。如果用户试图通过在表单中​​输入类似的内容来执行 SQL 注入，请确保您的应用程序保持安全; DROP DATABASE mysql;。这是一个极端的例子，但如果您不做好准备，黑客使用类似技术可能会导致大量安全漏洞和数据丢失。

一个常见的错误是只保护字符串数据值。记得还要检查数字数据。如果应用程序生成一个查询，例如SELECT * FROM table WHERE ID=234当用户输入值 234时，用户可以输入该值 234 OR 1=1以使应用程序生成查询SELECT * FROM table WHERE ID=234 OR 1=1。结果，服务器检索表中的每一行。这会暴露每一行并导致服务器负载过大。防止此类攻击的最简单方法是在数字常量周围使用单引号： SELECT * FROM table WHERE ID='234'. 如果用户输入额外的信息，这些信息都会成为字符串的一部分。在数字上下文中，MySQL 自动将此字符串转换为数字并从中删除任何尾随的非数字字符。

有时人们认为，如果数据库仅包含公开可用的数据，则无需保护。这是不正确的。即使允许显示数据库中的任何行，您仍然应该防止拒绝服务攻击（例如，那些基于前段技术导致服务器浪费资源的攻击）。否则，您的服务器将无法响应合法用户。

清单：

许多应用程序编程接口提供了一种转义数据值中特殊字符的方法。如果使用得当，这可以防止应用程序用户输入导致应用程序生成具有与您预期不同效果的语句的值：

其他编程接口可能具有类似的功能。

应用程序有责任拦截由于使用 MySQL 数据库服务器执行 SQL 语句而发生的错误并适当地处理它们。

MySQL 错误中返回的信息不是无偿的，因为该信息是使用应用程序调试 MySQL 的关键。SELECT 例如，如果不提供有关哪些数据库、表和其他对象出现问题的信息，则几乎不可能调试一个常见的 10 路连接语句。因此，MySQL 错误有时必须包含对这些对象名称的引用。

当应用程序从 MySQL 收到此类错误时，一种简单但不安全的方法是拦截它并将其逐字显示给客户端。但是，泄露错误信息是一种已知的应用程序漏洞类型 ( CWE-209 )，应用程序开发人员必须确保应用程序不存在此漏洞。

例如，显示如下消息的应用程序会向客户端公开数据库名称和表名称，这是客户端可能试图利用的信息：

ERROR 1146 (42S02): Table 'mydb.mytable' doesn't exist

相反，应用程序在从 MySQL 收到此类错误时的正确行为是将适当的信息（包括错误信息）记录到只有受信任人员才能访问的安全审计位置。应用程序可以向用户返回更通用的内容，例如“内部错误”。