From 53be3c82e6c14325227793a8eafafac1f4bd5766 Mon Sep 17 00:00:00 2001
From: astaxie <xiemengjun@gmail.com>
Date: Wed, 17 Oct 2012 18:02:17 +0800
Subject: [PATCH] =?UTF-8?q?SQL=E6=B3=A8=E5=85=A5=E9=83=A8=E5=88=86?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 9.4.md | 12 ++++++++++++
 1 file changed, 12 insertions(+)

diff --git a/9.4.md b/9.4.md
index bff4612b..5b5e2900 100644
--- a/9.4.md
+++ b/9.4.md
@@ -1,5 +1,17 @@
 ##9.4 避免SQL注入 
+##什么是SQL注入
+SQL注入攻击（SQL Injection），简称注入攻击，它是Web开发中最常见的一种安全漏洞。SQL注入漏洞可以用来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统最高权限。
 
+而造成SQL注入的原因是由于程序没有过滤用户的输入，攻击者通过向服务器提交恶意的SQL查询语句，应用程序接收后错误的将攻击者的输入作为原始SQL查询语句的一部分执行，导致改变了程序原始的SQL查询逻辑，额外的执行了攻击者构造的SQL查询语句。
+##SQL注入实例
+很多 web 开发者没有注意到 SQL 查询是可以被篡改的，因而把 SQL 查询当作可信任的命令。殊不知道，SQL 查询可以绕开访问控制，从而绕过身份验证和权限检查。更有甚者，有可能通过 SQL 查询去运行主机操作系统级的命令。
+
+下面将会给出一些真实的例子详细讲解一下SQL注入危害。
+
+
+	
+##如何预防SQL注入
+##总结
 ## links
    * [目录](<preface.md>)
    * 上一节: [避免XSS攻击](<9.3.md>)