原始网站登录的时候sql是这样验证的

"SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');" 

userName 和 passWord 是用户输入的 

sql攻击 就是 将 用户 userName  和 passWord  俩个变量 改成 "1' OR '1'='1";

最注重 sql 就成了

"SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"

也就是 SELECT * FROM users； 就 无需 密码账户 直接登了了

这就是最简单的sql注入  说白了 就是 填词游戏！！！