sql注入攻击

http://www.plhwin.com/2014/06/13/web-security-sql/
https://github.com/astaxie/build-web-application-with-golang/blob/master/zh/09.4.md
http://blog.csdn.net/btbdylq/article/details/7005013
http://my.oschina.net/u/1447974/blog/405385 不错

1、什么是sql注入（SQL Injection）？
是web开发中一种常见的安全漏洞，可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户、导出文件等操作，甚至有可能获取数据库乃至系统用户的最高权限。
2、造成sql注入的原因。
因为程序没有有效地过滤用户的输入，使攻击者成功地向服务器提交恶意的sql查询代码，程序在接收后错误地将攻击者的输入作为查询语句的一一部分执行，导致原始的查询逻辑被改变，额外地执行了攻击者精心构造的恶意sql代码。
3、如何防SQL注入攻击
1、关闭生产环境中Webserver的错误显示；
2、永远不要相信用户的变量输入，有固定格式的变量一定要严格检查对应的格式，没有固定格式的变量需要对引号等特殊符号进行必要的过滤转义。以PHP为例：采用addslashes函数过滤转义；
3、使用预编译绑定变量的sql语句；
4、严格加密处理用户的机密信息；