最好的方法是使用存储过程或参数化查询.白名单是一种额外的技术,可以在它们到达服务器之前阻止任何注入,但不应该用作主要防御.黑名单通常是一个坏主意,因为通常无法过滤掉所有恶意输入.

顺便说一句,这个答案正在考虑你的意思是在防止sql注入时进行消毒.