MySQL注入是一種常見的Web攻擊方式，攻擊者通過構造惡意的SQL語句，從而控制數據庫服務器，獲取敏感信息或者執行任意操作。下面是一些常見的MySQL注入語法。

SELECT * FROM users WHERE username = 'admin' AND password = 'password'

這是一個簡單的查詢語句，其中username和password是用戶輸入的值。攻擊者可以通過輸入一些特殊的字符來構造惡意的查詢語句，例如：

' or '1'='1

這個語句會使查詢條件變為：

WHERE username = '' or '1'='1' AND password = 'password'

由于'1'='1'總是成立，所以這個查詢語句會返回所有用戶的信息，從而繞過了登錄認證。

除了使用單引號，攻擊者還可以使用雙引號或者反斜杠來構造惡意的語句。MySQL也提供了一些函數和運算符來輔助注入攻擊，例如：

SELECT user(), version(), database()
SELECT * FROM users WHERE id = 1 OR 1=1 UNION SELECT 1, user(), database()--

其中user()函數可以獲取當前用戶，version()函數可以獲取MySQL版本號，database()函數可以獲取當前數據庫。UNION操作可以將兩個查詢結果合并，這種攻擊方式稱為盲注。

為了防止MySQL注入攻擊，開發人員應該對用戶輸入進行嚴格的過濾和驗證，或者使用參數化查詢等安全的方式操作數據庫。