上周给别人做了个网站，无意间发现自己的作品有很多漏洞，在短短的20秒就被自己用sql注入法给干了。所以查了一点关于sql注入的资料，并且有点感悟，希望能与新手们分享一下。高手们见笑了！ 
 sql注入攻击的总体思路：
 发现sql注入位置；
 判断服务器类型和后台数据库类型；
 确定可执行情况
 对于有些攻击者而言，一般会采取sql注入法。下面我也谈一下自己关于sql注入法的感悟。 
 注入法：
 从理论上说，认证网页中会有型如：
 select  from admin where username=' xxx'  and password=' yyy'  的语句，若在正式运行此句之前，如果没有进行必要的字符过滤，则很容易实施sql注入。
 如在用户名文本框内输入：abc’ or 1=1-- 在密码框内输入：123 则sql语句变成：
 select  from admin where username=' abc’ or 1=1 and password=' 123’ 不管用户输入任何用户名与密码，此语句永远都能正确执行，用户轻易骗过系统，获取合法身份 ......

添加：<table class="sortable">
不排序列:<th class="unsortable">"></th>
自定义排序:<td sorttable_customkey="1">
sortable.js
/*
Table sorting script  by Joost de Valk, check it out at http://www.joostdevalk.nl/code/sortable-table/.
Based on a script from http://www.kryogenix.org/code/browser/sorttable/.
Distributed under the MIT license: http://www.kryogenix.org/code/browser/licence.html .
Copyright (c) 1997-2007 Stuart Langridge, Joost de Valk.
Version 1.5.7
Modified by Rainertop,2009,Casia
*/
/* You can change these values */
var image_path = "";
var image_up = "arrow-up.gif";
var image_down = "arrow-down.gif";
var image_none = "arrow-none.gif";
var europeandate = true;
var alternate_row_colors = true;
/* Don't change anything below this unless you know what you're doing */
addEvent(window, "load", sortables_init);
var SORT_COLUMN_INDEX;
var thead = ......