前言

1. 使用 PHP+MySQL 架設的網頁，當網頁要求使用者輸入資料，以存取 mysql 資料庫時，若 PHP 程式沒有預防被「注入」的處理，駭客不需要任何工具，很容易就可以破壞或讀取你的資料庫中的機密資料。
2. 程式設計者不能一相情願的認為，使用者會依照你設定的格式輸入資料，而是要竭盡可能的排除不是系統需要的輸入。
3. PHP 已有函數可以去除造成 sql 注入危險的字符。
4. SQL Injection 問題很容易解決，不處理造成的危害可大可小，要視系統本身狀況而定，輕者只是查到不該看的資料，重者整個資料庫損壞，所以不應該置之不理。