diff --git a/backend/server.js b/backend/server.js
index 66e78e5..f1d8832 100644
--- a/backend/server.js
+++ b/backend/server.js
@@ -198,9 +198,9 @@ app.use((req, res, next) => {
 function sanitizeInput(str) {
   if (typeof str !== 'string') return str;
 
-  // 1. 基础HTML实体转义（不包括 / 因为是路径分隔符）
+  // 1. 基础HTML实体转义（不包括 / 因为是路径分隔符，不包括 ` 因为是合法文件名字符）
   let sanitized = str
-    .replace(/[&<>"'`]/g, (char) => {
+    .replace(/[&<>"']/g, (char) => {
       const map = {
         '&': '&amp;',
         '<': '&lt;',