“SELECT * FROM data WHERE id =”a_variable“;”

从这个说法可以看出,作者意图使a_variable成为与“id”字段相关的数字.然而,如果它实际上是一个字符串,则最终用户可以在他们选择时操纵该语句,从而绕过对转义字符的需要.例如,将a_variable设置为

1; DROP TABLE用户

将从数据库中删除(删除)“users”表,因为sql将呈现如下：

SELECT * FROM DATA WHERE id = 1; DROP TABLE users;

sql注入不是一个简单的攻击打.如果我是你,我会做非常仔细的研究.