// 正常情况下
select * from users where username='李四' and password ='123'
// 使用sql注入,通过【'--】使后面的字段被注释，从而获取用户信息
select * from users where username='李四'  -- '  and password =''123'

// 使用escape函数
username = escape(username)
password = escape(password)