SQL 注入是指攻击者通过在用户输入中插入恶意的 SQL 代码，欺骗后端服务器执行非预期的 SQL 命令，从而达到窃取数据、绕过认证、删库跑路等目的。防止 SQL 注入的最佳实践可以归纳为一条铁律：使用预编译 + 输入校验 + 最小权限 + ORM。其中，预编译（参数化查询）是目前公认最有效、最简单的方式。任何外部数据（GET/POST/Cookie/Header）都不能直接拼接到 SQL 中。动

首次访问（1‑RTT）：客户端发送第一个 Initial 包同时包含连接请求和加密参数（TLS 1.3 集成），服务器响应 Handshake 包，一次往返后即可发送应用数据。服务器一边验证一边处理请求，实现“零等待”。TCP 队头阻塞（传输层）：由 TCP 的有序交付特性引起（丢包后需重传），HTTP/2 依然受限于此，这也是 HTTP/3 改用 UDP 的原因。HTTP/1.1（默认持久连接）