SQL注入原理和防护，再也不写危险查询

SQL注入是Web安全头号威胁。正确防护很简单。

注入原理

拼接SQL导致用户输入被解释为代码。' OR 1=1 -- 绕过认证。DROP TABLE删库。UNION查询盗取数据。

防护方法

使用参数化查询而不是拼接。预处理语句：PREPARE stmt FROM 'SELECT * FROM users WHERE id=?'。所有框架都支持。