SQL 注入是一种攻击技术，攻击者通过在应用程序预期输入数据的地方（如表单字段、URL 参数等）插入（或“注入”）恶意的 SQL 代码片段。当应用程序没有正确处理这些输入，而是将其直接拼接到后端数据库查询语句（SQL）中并执行时，攻击者注入的恶意代码就会被数据库引擎执行。这导致攻击者能够读取、修改、删除数据库中的敏感数据，甚至完全控制数据库服务器。

1、sql 注入是什么

sql 注入就是用户通过输入的参数，拼接到原先的 sql 中，成为 sql 的一部分，从而影响 sql 的功能和执行结果

在关于SQL注入，百度的解释是这样的：SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

现在大多数系统都使用B/S架构，出于安全考虑需要过滤从页面传递过来的字符。通常，用户可以通过以下接口调用数据库的内容：URL地址栏、登陆界面、留言板、搜索框等。这往往会出现安全隐患，为了更好的保护数据泄露或服务器安全，为了方便的安全测试，便编写此文。

1. SQL注入简介