MySQL數據庫是廣泛應用于Web應用程序中的開源關系型數據庫。然而，由于安全漏洞的存在，MySQL數據庫容易受到SQL注入攻擊。

什么是SQL注入攻擊？通過將惡意代碼插入到Web應用程序的輸入表單中，攻擊者可以欺騙應用程序執行他們所構造的SQL查詢語句。攻擊者使用這種方法可以獲取應用程序未經授權訪問的任意數據，包括用戶名和密碼等敏感信息。

通過構造惡意查詢語句，攻擊者可以繞過應用程序的身份驗證和授權機制，執行任意命令，包括刪除、修改或新增數據，甚至執行惡意代碼。

下面我們通過一組示例代碼來演示MySQL數據庫的SQL注入攻擊。

username = ""; password = "";
if (isset($_POST['username']) && isset($_POST['password'])) {
$username = $_POST['username']; $password = $_POST['password'];
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
$result = mysqli_query($conn, $sql);
if(mysqli_num_rows($result) >0) {
echo "Authentication successful";
} else {
echo "Authentication failed";
}
}

以上代碼是一個簡單的登錄頁面示例。用戶可以通過輸入用戶名和密碼登錄到系統中。

我們通過以下方式演示SQL注入攻擊：

// 用戶輸入：admin';--
// 構造的SQL語句：
SELECT * FROM users WHERE username = 'admin';--' AND password = ''
// 注釋掉了結束的單引號，并忽略了用戶輸入的密碼。
// 查詢所返回的是用戶名為admin的所有用戶。
// 用戶輸入：admin' OR '1' = '1';--
// 構造的SQL語句：
SELECT * FROM users WHERE username = 'admin' OR '1' = '1';--' AND password = ''
// 由于'1' = '1'是一個始終為真的條件，這個查詢語句將會查詢到所有用戶，而不是指定的用戶admin。

結論：使用參數化查詢可以有效防止SQL注入攻擊。使用mysqli_prepare()函數，預定義參數，然后綁定參數值來執行查詢。在執行此方法之前，輸入數據不會被編譯，也不會對其進行任何識別。