只允许数字/字母/下划线/等于大于小于号/中划线/冒号，可以防注入吗？

现在在着手统一公司的后台，打算主站去各个子站取数据
每次有新需求，都发子站的代码太麻烦，（很多子站的运维权限不在我们手上）
目前打算这样。
子站备着一句

sprintf("select * from %s where %s %s '%s'", $table, $cond, $is, $value);

主站传的参数，先用正则过一遍，只允许数字/字母/下划线/等于大于小于号/中划线/冒号，
如果有其它符号（主要是防空格？？）
就不执行。

这样安全吗？

主要目的是，保证安全的情况下，尽可能把工作量和回旋余地都集中到主站。

基本的api对称加密那些肯定是有。主要问题还是防注入这块，这样能防住吗？