摘要： 1.输入框中输入单引号，报数据库语法错误，说明可以进行sql注入。 2.输入框中输入单引号加或恒成立条件，例如：' or 1=1 会查询到该表全部数据 3.输入：' or 1=1 --yangge ' 其中--后表示数据库的注释，--后的内容都不进入正式查询语句 4.使用union语句，例如输入: 阅读全文