以前我觉得SQL注入好流弊好神秘，确实，今天看了点资料对它有个一知半解了。
举个栗子：一个网页上输入框name=user
而在这网页的源代码上的数据库操纵语句上直接调用了user文本，例"select * from table where user =" user
这样的话网页源程序没对输入框提交的数据进行转义和验证，直接当成数据库操作的一部分执行了，然后就悲剧了，，
跨站xss感觉和这原理也差不多，没检查处理提交数据，例如提交一段文本，是个JavaScript，程序不对提交数据进行处理而直接以JavaScript显示出来，

1. pdo预处理