SQL 注入漏洞简单说明

SQL 注入，就是「给 SQL 语句插入东西」的意思。没有特殊说明的话，一般就是插入可能导致问题的内容。

早先的网站编写者没有留意到 SQL 的安全问题，会写出这种程序，浏览器端通过 URL 的 parameter 传递查询参数，然后下一个页面显示查询结果。

问题就可能产生了，如果用户添加一个在 URL 中加入一个 or 1=1 的条件，就能带出相关表的所有内容！

避免 SQL 注入漏洞攻击一些做法。在 Java JDBC 编程中，就强调不要拼接 SQL，而是要使用 Statement 的 set 方法来设置变量值。