終竟什麼是sql注入

到底什麼是sql注入
因為剛學php,但總是看到別人在寫php代碼時總是寫一些提防sql注入的句子,到底啥是sql注入呢?好象一些特殊符號寫進資料庫中就行了,但我有疑問是,這些特殊符號如\ '等就是寫進去了,又能咋樣呢?也不會對安全造成威脅
------解決思路----------------------
簡單舉個例子

例如要檢查使用者登入輸入的使用者名稱和密碼是否正確。

$username = 'fdipzone';
$password = '123456';
$sql = "select * from table where username='".$username."' and password='".$password."'";


但如果$password我填入了以下的字元，就能繞過檢查了。
$password = "abc' or '1'='1"
查詢語句就會變成
select * from table where username='fdipzone' and password='abc' or '1'='1'
這樣無論username與password輸入什麼都能正常通過。


防注入就是把一些會影響的字元轉義，例如 ' 等。

