現在在著手統(tǒng)一公司的后臺，打算主站去各個子站取數據每次有新需求，都發(fā)子站的代碼太麻煩，（很多子站的運維權限不在我們手上）目前打算這樣。子站備著一句sprintf("select * from %s where %s %s '%s'", $table, $cond, $is, $value);主站傳的參數，先用正則過一遍，只允許數字/字母/下劃線/等于大于小于號/中劃線/冒號，如果有其它符號（主要是防空格？？）就不執(zhí)行。這樣安全嗎？主要目的是，保證安全的情況下，盡可能把工作量和回旋余地都集中到主站?；镜腶pi對稱加密那些肯定是有。主要問題還是防注入這塊，這樣能防住嗎？