先说说什么是 SQL Injection，简单的来说就是当我们输入 www.sample.com?testid=23 时，我们在 URL 中传递变量 testid，并且提供值为 23，由于它是对数据库进行动态查询的请求（其中？testid＝23 表示数据库查询变量），所以我们可以该 URL 中嵌入恶意 SQL 语句。

12306 不出现这个问题，我几乎都忘记了这种问题的存在，以前用 jsp 的时候就会有这样的 url，现在用 Rails 了，几乎没有见过，是不是如果使用了 routes 就可以避免了这样的问题了？

尼玛，3 亿元的项目这错误真的低级哦。