验证用户输入有效性
不能输入非法字符
如:‘ % < -- 等脚本语言中常用的特殊字符
不能直接访问有安全限制的页面
如:浏览器历史记录中记录的页面
用户名/密码验证SQL语句
Select * from userinfo whereusername= 'i_username' and pwd = 'i_password'
恶意登录 admin/ 'or '1'='1
Select * from userinfo whereusername = 'admin' and pwd = '' or '1'= '1'
用户名可以输入任意字符,只要密码中输入了 or true条件
不能直接访问有安全限制的页面
例子:
用户A有登录网站的权限
用户B直接访问历史记录中A访问过的页面
