假设sql是搜索用户A的文章，sql会是这样：

select * from table where owner='A';

sql注入攻击者会修改用户名来实现攻击，例如把A 改成A' or 1='1

组合后的sql语句：

select * from table where owner='A' or 1='1';

这样就可以获取所有用户的文章

可见，sql攻击就是把部分数据内容伪造成sql语句，例如上面把 or 1=伪造成sql语句来实现攻击

而伪造的方法，就是在内容里面加入引号，所以预防sql注入的方法就是把传入的参数里面的引号进行转义，例如上面把用户名改成 A\' or 1=\'1，就可以预防这样的sql攻击

引号包括单引号和双引号

 

python的MySQLdb模块中有专门转义的函数：

import MySQLdbdef safe(s):    return MySQLdb.escape_string(s)