关于sql注入的新理解

以查询为例，文本框中输入文字进行搜索。这时候后台的操作相当于执行了一个查询语句，

如在文本框中输入奢侈名品进行搜索，程序执行的是

select * from table where t.keys like '奢侈名品'；

如果我们在文本框中输入 '奢侈名品 ，这时候程序执行

select * from table where t.keys like ''奢侈名品'；

相当于奢侈名品前有两个''就已经结束了，所以程序会报错；

如果再输入 ';insert into table value1.. 就可以进行sql注入了

select * from table where t.keys like '';insert into table value1..；