1、SQL注入的典型特征是：改变原始SQL的语义，绕过正常的代码检查逻辑。
2、宽字节注入是利用：多字节结合表示一个字符，改变SQL语义
　　比如GBK，补充说明，GBK是国标扩展，GB分为三类：
　　GB：强制标准 GBT：推荐规则 GBZ：指导规则
　　GB-2312-80是GB顺序2312，1980年制定的
　　GB18030-2000是国标顺序18030，2000年制定的
3、考虑：
　　http://192.168.1.100/xxx?name=andy
　　拼接的SQL为：select userId from user where name='andy'
　　注入攻击：http://192.168.1.100/xxx?name=andy%E0' union select database()%23（注：%E0表示16进制取值）
　　替换进去，单引号转义 select userId from user where name='andy%E0\' union select database()%23'
　　对于GBK，%E0和\(%5C)对应一个中文字符，二者结合起来，后面的单引号刚好与前面的单引号闭合
　　%23是16进制的#，刚好注释掉后面的内容，或者使用%2D%2D两个减号注释
　　注入的SQL为：
　　select userId from user where name='andy中' union select database()#'
　　等价为：
　　select userId from user where name='andy中' union select database()