数据验证应在两个位置进行：

>数据的作用点,例如验证SQL查询的输入参数.
>在提交数据时的一般验证,例如在Web应用程序中,客户端上应发生一些验证.优点是您可以快速通知用户输入问题,即不正确的电话号码,字符串太长等.但是,不应该依赖于权威性验证检查,就Web应用而言,恶意用户可能绕过客户端验证.

在我看来,数据库不应该执行一般验证,数据应该在进入数据库之前进行验证/转义/清理.那就是说,你的数据库模式可以通过列数据类型,约束等给你一个抽象的验证级别.也就是说,任何可能触发这些问题的数据在被传递到数据库之前都应该被清理.

这说,有很多错误的方法,但没有正确的方法.验证取决于应用程序的体系结构,数据的性质以及数据的使用方式.