所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
简单实例:一张用户表user,一般需要通过user_id操作数据库,例如:我们想要查询'user_id=1'的用户信息
通常我们可以写sql语句:select * from user where user_id=1;
后台语句:select * from user where user_id=’{0}‘;
在地址栏输入 user_id=1 or 1=1;传到后台时就能得到所有用户信息