概念：

　　防止：验证。

　　举例说明：

　　应该是：永远别相信用户的输入。用后端的PHP来校验过滤每一条输入的信息，不要相信Javascript。像下面这样的SQL语句很容易就会被攻击：

$username = $_POST["name"]; $password = $_POST["password"]; $sql = "SELECT userid FROM usertable WHERE username='$username'AND password='$password';"; // run query...

　　这样的代码，如果用户输入”admin’;”那么，就相当于下面这条了：

SELECT userid FROM usertable WHERE username='admin';

　　这样入侵者就能不输入密码，就通过admin身份登录了。