SQL注入

在输入的字符串之中注入SQL语句，如果在设计不良的程序中忽略了检查，那么这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行，攻击者就可以执行计划外的命令或访问未被授权的数据。

恶意拼接查询

利用注释执行非法命令

利用单引号

真值表达式

避免SQL注入

• 过滤输入内容，校验字符串
• 参数化查询
• 安全测试、安全审计