ほとんどの RDBMS が準拠している「SQL92」での特殊文字のほかにも，各RDBMSが個別に拡張している文字もあるので，それらの特殊文字の確認も必要となります。主な「SQL92」での特殊文字の例は以下のものがあります。

• 「空白，( )」（⁠文字列やコマンドの区切り）
• 「⁠“⁠，‘⁠，,」（⁠文字列の区切り）
• 「-」（⁠負の数を表すため）
• 「.」（⁠フィールドの指定）
• 「&，+，/，|」（⁠演算子）
• 「:」（⁠変数の設定）
• 「;」（⁠コマンドの区切り）
• 「<，=，>」（⁠演算子）
• 「%，?，*，_」（⁠正規表現）

.NET Frameworkが稼働する環境でのOSコマンドの例は以下のものがあります。

• 「;，|，&」（⁠コマンドの実行など）
• 「x00」（⁠NULL 文字 文字列やファイル名の中断など）
• 「x20」（⁠空白文字 パラメータの区切りなど）
• 「x04」（⁠EOT 文字 ファイルの終わりなど）
• 「x0A，x0D」（⁠改行文字 追加コマンドの実行，メールの偽造，ファイルの変更など）
• 「x1b」（⁠エスケープ文字）
• 「x08」（⁠バックスペース文字 ログファイルの偽造，ファイルの変更など）

• 「x7f」（⁠削除文字）
• 「⁠“⁠」（⁠文字列の区切りなど）
• 「/，-」（⁠パラメータの指定など）
• 「*，?」（⁠正規表現など）
• 「.，\」（⁠ディレクトリ指定など）
• 「<，>」（⁠ファイル操作など）
• 「%」（⁠環境変数の参照など）

クロスサイトスクリプティング脆弱性対策においても入力データの無効化（サニタイジング）を行います。主なサニタイジング対象文字とサニタイジング後の文字の例は以下のものがあります。

• 「<⁠」⁠→「⁠&lt;」
• 「>⁠」⁠→「⁠ &gt;」
• 「&⁠」⁠→「⁠&amp;」
• 「⁠“⁠」⁠→「⁠&quot;」
• 「⁠‘⁠」⁠→「⁠&#39」

URL 内に「%00」が含まれていた場合，「⁠%00」をNULL 文字と解釈されないようにするため，「⁠%00」についても入力データチェックを行うようにします。

メールヘッダの改竄を防止するため，メール送信を行う際のメールヘッダへの入力データ埋め込みは避けるようにします。メールヘッダはできるだけ固定化し，ユーザからの入力データはメール本文に埋め込む方式を採用します。

運用上の特徴や問題などから，メールヘッダを固定化できずメールヘッダへ入力データを埋め込む必要がある場合は，ユーザからの入力データに対して不適切な文字列が含まれていないか，メールヘッダとして適切な文字列となっているかチェックを行います。また，特殊文字に対して，無効化（サニタイジング）を行います。

おもな特殊文字の例は以下のものがあります。

「%」＋ 16 進数文字列を使用して文字列を操作することができるためチェックするもの

• 「%20」（⁠スペース）
• 「%25」（⁠パーセント）
• 「%0A」（⁠改行）
• 「%2520」（⁠スペース）など

別プログラムの動作や，プログラム，OSコマンドの挿入，ファイル名の取扱時などに不適切なパラメータの挿入を防ぐためチェックするもの

• 「!」（⁠感嘆符）
• 「&」（⁠アンド）
• 「|」（⁠パイプ）
• 「`」（⁠バッククオート）
• 「;」（⁠セミコロン）
• 「:」（⁠コロン）
• 「*」（⁠アスタリスク）
• 「,」（⁠カンマ）
• 「?」（⁠疑問符）
• 「/」（⁠スラッシュ）
• 「\」（⁠バックスラッシュ）
• 「-」（⁠マイナス）
• 「．」（⁠ドット）
• NULL（x00）
• 「⁠（⁠）⁠，「⁠」⁠，｛｝，[]など」（⁠各種括弧文字）など

HTMLタグの埋め込みや，クロスサイトスクリプティングなどを防ぐためチェックするもの

• 「<」
• 「>」
• 「⁠’⁠」
• 「⁠”⁠」
• 「&」など