SQL注入是一种常见的Web安全漏洞，当网站未对用户输入进行过滤时，攻击者可通过构造恶意SQL语句实现对数据库的非法操作。注入点包括URL、登录框、搜索框等，危害包括数据泄露、账号盗取甚至服务器控制。注入类型分为字符型和数字型。常用攻击语句包括查询数据库名（schema_name）、表名（table_name）和字段名（column_name），最终通过select语句获取敏感数据。