MySQL頭注入是指惡意攻擊者將攻擊代碼注入到MySQL的頭部，以便在未經授權的情況下獲得訪問和修改數據庫的能力。頭注入需要使用類似Tamper Data和Burp Suite等工具進行攻擊。

在MySQL的頭部中，有一些變量可以設置以幫助MySQL的服務器執行。由于這些參數是直接傳遞給MySQL服務器的，如果惡意攻擊者能夠通過某些方式注入這些參數，他就可以輕松地獲得對服務器的訪問，從而對其進行修改或者竊取數據庫中的數據。

例子：
SELECT * FROM `users` WHERE `id` = -1 UNION ALL SELECT 1, ‘’, ‘super_user’, ‘password’, ‘super_user@hacked.com’;

上述代碼示例中，攻擊者使用UNION ALL運算符向查詢中添加了另一個SELECT語句。它使用單引號注釋查詢以繞過任何安全過濾器。這個語句添加了一個名為malicious_script.js的外部JavaScript文件，該文件位于攻擊者控制的網站或服務器上。

最好的防御MySQL頭注入的方法是清除所有用戶輸入，以確保不會包含任何潛在的頭注入。同時，提供輸入合法性檢查和數據庫訪問授權是保護數據庫不受頭注入攻擊的最佳方法。