存取 MySQL 的應用程式不應信任使用者輸入的任何資料，使用者可能會嘗試透過在 Web 表單、URL 或您建置的任何應用程式中輸入特殊或逸出的字元序列來欺騙您的程式碼。請務必確保您的應用程式在使用者嘗試透過在表單中輸入類似 ; DROP DATABASE mysql; 的內容來執行 SQL 注入時保持安全。這是一個極端的範例，但如果您未做好準備，駭客使用類似技術可能會導致嚴重的安全性漏洞和資料遺失。

一個常見的錯誤是僅保護字串資料值。請記住同時檢查數值資料。如果應用程式在使用者輸入值 234 時產生類似 SELECT * FROM table WHERE ID=234 的查詢，則使用者可以輸入值 234 OR 1=1，導致應用程式產生查詢 SELECT * FROM table WHERE ID=234 OR 1=1。結果，伺服器會擷取表格中的每一列。這會暴露每一列，並導致過度的伺服器負載。保護免受此類攻擊的最簡單方法是在數值常數周圍使用單引號：SELECT * FROM table WHERE ID='234'。如果使用者輸入額外資訊，所有這些都會成為字串的一部分。在數值環境中，MySQL 會自動將此字串轉換為數字，並從中移除任何尾隨的非數值字元。

有時候人們認為，如果資料庫僅包含公開可用的資料，則無需保護。這是錯誤的。即使允許顯示資料庫中的任何列，您仍然應防範阻斷服務攻擊 (例如，基於前面段落中導致伺服器浪費資源的技術的攻擊)。否則，您的伺服器將對合法使用者沒有回應。

檢查清單

許多應用程式介面 (API) 提供了在資料值中逸出特殊字元的方法。正確使用時，這可以防止應用程式使用者輸入導致應用程式產生與您預期效果不同的陳述式的值。

其他程式設計介面可能具有類似的功能。

應用程式的責任是攔截因使用 MySQL 資料庫伺服器執行 SQL 陳述式而發生的錯誤，並適當處理它們。

MySQL 錯誤中傳回的資訊並非多餘，因為該資訊是使用應用程式除錯 MySQL 的關鍵。舉例來說，如果沒有提供有關哪些資料庫、表格和其他物件涉及問題的資訊，要除錯常見的 10 向聯結 SELECT 陳述式幾乎是不可能的。因此，MySQL 錯誤有時必須包含對這些物件名稱的參考。

當應用程式從 MySQL 收到此類錯誤時，一種簡單但不安全的方法是攔截它並逐字顯示給用戶端。然而，揭露錯誤資訊是一種已知的應用程式漏洞類型 (CWE-209)，而且應用程式開發人員必須確保應用程式沒有此漏洞。

例如，顯示如下訊息的應用程式會向用戶端公開資料庫名稱和表格名稱，用戶端可能會試圖利用此資訊

ERROR 1146 (42S02): Table 'mydb.mytable' doesn't exist

相反地，當應用程式從 MySQL 收到此類錯誤時，適當的行為是將適當的資訊（包括錯誤資訊）記錄到只有受信任人員才能存取的安全稽核位置。應用程式可以向使用者傳回更通用的內容，例如「內部錯誤」。