MySQL注入是指通過在應用程序調用MySQL數據庫時錯誤地構造SQL查詢語句來攻擊數據庫的行為。這種攻擊會導致應用程序的數據庫暴露給攻擊者，因此需要使用預處理語句來解決這個問題。

預處理語句的使用：

prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password);
$stmt->execute();
$result = $stmt->get_result();
?>

從上面的代碼可以看到，使用預處理語句時，SQL查詢語句被編譯成二進制格式，因此無法由攻擊者完全控制。另外，使用綁定參數的方式可以確保輸入的數據被正確地轉義。

MySQL注入攻擊的演示：

query($query);
?>

從上面的代碼可以看到，通過將用戶的輸入直接拼接到SQL查詢語句中，攻擊者可以在不被授權的情況下讀取或修改應用程序的數據庫。例如，輸入' OR 1=1--后，整個SQL查詢語句變成了：

SELECT * FROM users WHERE username = '' OR 1=1--' AND password = ''

這個查詢語句是合法的，因為1=1是一個恒等式，因此該語句將返回users表中的所有行，攻擊者可以獲得所有用戶的憑證。

因此，為了保護應用程序的數據庫，需要使用預處理語句和綁定參數的方式來構造SQL查詢語句。