SQL注入是一种将SQL命令插入到数据平面输入（例如表单输入或URL参数）中，以欺骗数据库执行恶意SQL命令的攻击方式。例如，在一个用户登录功能中，攻击者可能会在用户名或密码字段中输入SQL代码，如' or '1'='1。如果后端代码直接将这个输入拼接到SQL查询语句中，就可能导致查询条件被篡改。正常的查询可能是SELECT * FROM users WHERE username = 'admin' AND password = '123456'，但经过注入后可能变成SELECT * FROM users WHERE username = '' or '1'='1' AND password = '' or '1'='1'，这样就可能绕过登录验证。