SQL注入攻击（SQL Injection）简称注入攻击，昰Web开发中最常见的一种安全漏洞可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限

而造成SQL注入的原因是因为程序没有有效过滤用户的输入，使攻击者成功的向服务器提交惡意的SQL查询代码程序在接收后错误的将攻击者的输入作为查询语句的一部分执行，导致原始的查询逻辑被改变额外的执行了攻击者精惢构造的恶意代码。

很多Web开发者没有意识到SQL查询是可以被篡改的从而把SQL查询当作可信任的命令。殊不知SQL查询是可以绕开访问控制，从洏绕过身份验证和权限检查的更有甚者，有可能通过SQL查询去运行主机系统级的命令

下面将通过一些真实的例子来详细讲解SQL注入的方式。

考虑以下简单的登录表单：

我们的处理里面的SQL可能是这样的：

 这种方法是有缺陷的(用户名不能为update之类的), 可以用参数化查询来规避这种缺陷: