Santorini7
原始网站登录的时候sql是这样验证的"SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');" userName 和 passWord 是用户输入的 sql攻击 就是 将 用户 userName 和 passWord 俩个变量 改成 "1' OR '1'='1";最注重 sql 就成了"SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"也就是 SELECT * FROM users; 就 无需 密码账户 直接登了了这就是最简单的sql注入 说白了 就是 填词游戏!!!