Web应用防火墙如何保护免受SQL注入的攻击？

Web应用防火墙（WAF）是一种安全工具，利用规则或算法对网络流量进行过滤和监测，从而防止Web应用程序遭受各种攻击，如SQL注入攻击。以下是WAF防护SQL注入的一些常见方法。

1. 参数化查询

参数化查询是一种以参数传递查询条件的方式，可以有效防止SQL注入攻击。例如，在Java中，PreparedStatement对象就支持参数化查询：

String query = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement statement = connection.prepareStatement(query);
statement.setString(1, username);
statement.setString(2, password);
ResultSet result = statement.executeQuery();

2. 过滤特殊字符

适当的字符过滤可以减少攻击者能够注入的恶意代码。例如，在PHP中，可以使用addslashes()或mysqli_real_escape_string()函数过滤输入：

$username = addslashes($_POST['username']);
$password = addslashes($_POST['password']);

3. 正则表达式

正则表达式可以过滤或验证输入，从而减少SQL注入攻击的发生。例如，在Python中，可以使用re模块中的re.escape()函数过滤输入：

import re
username = re.escape(input("Enter your username: "))
password = re.escape(input("Enter your password: "))

以上方法都可以通过Web应用防火墙对输入进行过滤和监测，从而提高Web应用程序的安全性，有效防止SQL注入攻击。