现在在着手统一公司的后台，打算主站去各个子站取数据每次有新需求，都发子站的代码太麻烦，（很多子站的运维权限不在我们手上）目前打算这样。子站备着一句sprintf("select * from %s where %s %s '%s'", $table, $cond, $is, $value);主站传的参数，先用正则过一遍，只允许数字/字母/下划线/等于大于小于号/中划线/冒号，如果有其它符号（主要是防空格？？）就不执行。这样安全吗？主要目的是，保证安全的情况下，尽可能把工作量和回旋余地都集中到主站。基本的api对称加密那些肯定是有。主要问题还是防注入这块，这样能防住吗？