SQL注入是一个漏洞,攻击者通过用户输入插入恶意SQL——操纵数据库查询以窃取数据、绕过身份验证或破坏数据。它是最危险和经典的网络漏洞之一,但可以通过适当的技术来防止。
SQL注入如何工作
When user input is concatenated directly into a SQL query, an attacker can INJECT SQL:
// ❌ VULNERABLE — user input concatenated into the query
const query = `SELECT * FROM users WHERE email = ''`;
