提交表单怎么防止sql注入？

看到老师讲防止sql注入的视频，Django自带防sql注入，但是呢我的项目后台用的是thinkphp5呀，前端是微信小程序。如果换成django的话整套代码还要自己写

我的项目就是做表单的，这些表单全部是文本框，几乎可以输入任何字符。考虑到安全问题，我想要只允许用户输入"，； ！ ？ 。"这些常用的符号和汉字，否则就报错，这样做可以吗？因为感觉对用户的限制太多了，想咨询一下大家的意见。