面试官人很好，很热情，问题答不上来给点提示，也会讲解回答的内容的错误等。整个面试过程很愉快。

1.SQL注入的原理：通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。通常未经检查或者未经充分检查的用户输入数据或代码编写问题，意外变成了代码被执行。 2.sql二次注入 第一次进行数据库插入数据的时候，仅仅只是使用了 `addslashes` 或者是借助 `get_magic_quotes_gpc` 对其中的特殊字符进行了转义，在写入数据库的时候还是保留了原来的数据，但是数据本身还是脏数据。 在将数据存入到了数据库中之后，开发者就认为数据是可信的。在下一次进行需要进行查询的时候，直接从数据库中取出了脏数据，没有进行进一步的检验和处理，这样就会造成SQL的二次注入。