SQL注入的成因在于对用户提交CGI参数数据未做充分检查过滤，用户提交的数据可能会被用来构造访问后台数据库的SQL指令。