摘要： sql 注入就是通过用户提交的数据中加入一些特殊字符如单引号等来影响sql命令的行为这些网上都有很多说明，只要搜一下都会有很多。我这里要说的是大家可能会不注意的地方，大部分新手会认为sql注入只是通过地址栏里的参数来注入好一点的会知道通过表单提交的数据来注入，很少有人会注意到通过一些隐藏的域或都不可输入的表单项来注入其实像<select> checkbox radio <input type="hidden">这样的表单元素都是可以用来作为sql注入的数据入口通常网上提供的sql注入检测都是通过地址栏参数来检测。所以大家在后台接收用户提交的代码时一定 阅读全文