SQL注入是通过将恶意SQL代码插入输入字段，欺骗服务器执行非预期命令的攻击。例如：输入 `' OR '1'='1` 绕过登录。防御方法包括：1) 使用参数化查询（预编译语句），2) 输入验证和过滤，3) 最小化数据库权限，4) ORM框架自动防御。