一、常用的WEB服务端注入 一般来说，WEB注入的对象是网站，常用的是SQL注入和代码注入。其本质是把用户输入的数据当做代码来执行，主要原因是设计时忽略了数据检查或违背了数据与代码分离原则，其发生的两个条件： 1、用户可以控制数据输入； 2、用户输入的数据可以拼接代码，把数据当做代码执行了。 【SQL注入】 $username = $_POST['username']; $sql = "select * from usertable where username="."'".$username."'" 正常情况下用户输入 ‘Tom’ ，sql为 "select * from usertable where username='Tom'"; 但如果用户输入 “Tom' ; drop table usertable--”,sql如下： "select * from usertable wher ...