當user_name為 英文的 ' 則會報sql錯誤,“引號內的字符串沒有正確結束”等等。這樣的錯誤如果給前臺捕捉了,那麽妳的sys_user表就管不住了,當參數user_name or user_pwd 為 ' or 1=1 -- 時 ,拼成的sql語恒成立,像這樣的情況就是壹種比較簡單的註入攻擊行為,所 以最好把前臺的參數,轉換為壹種數據庫用不到的符號或者字符串(不是相關符號或關鍵字),比如,將英文的符號轉成中文。現在最受歡迎的是將參數加密,至於怎樣加密就是題外話了,妳可以自己去看下相關貼子,希望對妳有些幫助