存取 MySQL 的應用程式不應信任使用者輸入的任何資料，使用者可能會嘗試透過在 Web 表單、URL 或您建置的任何應用程式中輸入特殊或跳脫字元序列來欺騙您的程式碼。請務必在使用者嘗試透過輸入類似 ; DROP DATABASE mysql; 的內容到表單中來執行 SQL 注入時，您的應用程式仍保持安全。這是一個極端的範例，但如果您不為此做好準備，駭客使用類似的技術可能會導致重大的安全漏洞和資料遺失。

一個常見的錯誤是只保護字串資料值。請記住也要檢查數值資料。如果應用程式在使用者輸入值 234 時產生類似 SELECT * FROM table WHERE ID=234 的查詢，則使用者可以輸入值 234 OR 1=1 以導致應用程式產生查詢 SELECT * FROM table WHERE ID=234 OR 1=1。結果，伺服器會檢索資料表中的每一列。這會暴露每一列並導致伺服器負載過高。防止此類攻擊的最簡單方法是在數值常數周圍使用單引號：SELECT * FROM table WHERE ID='234'。如果使用者輸入額外資訊，則所有資訊都會成為字串的一部分。在數值內容中，MySQL 會自動將此字串轉換為數字，並從中去除任何尾隨的非數值字元。

有時人們認為，如果資料庫只包含公開可用的資料，則不需要保護。這是錯誤的。即使允許顯示資料庫中的任何列，您仍然應該防止阻斷服務攻擊（例如，基於前一段中導致伺服器浪費資源的技術）。否則，您的伺服器將對合法使用者沒有反應。

檢查清單

許多應用程式介面 (API) 提供了在資料值中逸出特殊字元的方法。正確使用此方法可以防止應用程式使用者輸入導致應用程式產生與您預期效果不同的陳述式的值。

其他程式設計介面可能具有類似的功能。

應用程式有責任攔截執行帶有 MySQL 資料庫伺服器的 SQL 陳述式時發生的錯誤，並適當處理這些錯誤。

MySQL 錯誤中傳回的資訊並非無故，因為這些資訊是使用應用程式偵錯 MySQL 的關鍵。例如，若不提供有關哪些資料庫、表格及其他物件牽涉到問題的資訊，則幾乎不可能偵錯常見的 10 向聯結 SELECT 陳述式。因此，MySQL 錯誤有時必須包含對這些物件名稱的參照。

當應用程式從 MySQL 收到此類錯誤時，一種簡單但不安全的方法是攔截錯誤，並逐字顯示給用戶端。但是，洩露錯誤資訊是一種已知的應用程式漏洞類型 (CWE-209)，應用程式開發人員必須確保應用程式沒有此漏洞。

例如，顯示如下訊息的應用程式會向用戶端暴露資料庫名稱和表格名稱，這些資訊可能是用戶端試圖利用的資訊

ERROR 1146 (42S02): Table 'mydb.mytable' doesn't exist

相反地，當應用程式從 MySQL 收到此類錯誤時，正確的行為是將包括錯誤資訊在內的適當資訊記錄到只有受信任人員才能存取的安全稽核位置。應用程式可以向使用者傳回更通用的資訊，例如 「內部錯誤」。