sql

 就是指的是，在执行时，拼装sql，用户间接或直接 参与了sql语句的拼装，并且用户填写的不放呢影响sql本身的逻辑。

就比如用户在输完用户名及密码时，给一个请求发送到后台服务器上，交给写的一个类来处理这个请求，用你类中的代码来处理请求中的用户名和密码，然后再去数据库中去验证是否正确。

//sql语句
SELECT * FROM t_user WHERE NAME = "tom" AND PASSWORK = "1243 ";
//java拼装代码
String sql = " SELECT* FROM t_user
WHERE NAME = '"+name+"'
AND PASSWORD = '"+password+"';"

将sql语句写成
SELECT * FROM t_user WHERE NAME = "xxx" OR 1=1 AND PASSWORK = "1243 ";

解决方法：
不让用户参与拼装即可。