为了防止SQL注入攻击，我们可以采取以下一些措施来保护MySQL数据库：

1. 使用参数化查询（Prepared Statements）：参数化查询是使用预编译语句将输入的数据与查询语句分离。这样可以确保用户输入的数据被当做数据参数而不是代码的一部分，从而避免了SQL注入攻击。

示例代码（使用PHP的PDO方式）：

```PHP

// 假设$db是已经建立好的PDO数据库连接对象

$sql = "SELECT * FROM users WHERE username = :username AND password = :password";

$stmt = $db->prepare($sql);

$stmt->bindParam(":username", $username);

$stmt->bindParam(":password", $password);

$stmt->execute();

2. 输入数据验证与过滤：在将用户输入数据用于数据库查询之前，需要对数据进行验证和过滤。可以使用正则表达式、过滤函数或限制输入长度等方法进行数据校验，确保输入符合预期的格式和规范。

示例代码（使用PHP的filter_var函数进行数据验证）：

```PHP

$username = $_POST['username'];

if (!filter_var($username, FILTER_VALIDATE_EMAIL)) {

echo "无效的用户名";

exit;

}

3. 使用ORM（对象关系映射）工具：ORM工具可以将数据库操作封装为面向对象的方式，隐藏了底层的SQL语句，从而减少了SQL注入的风险。

示例代码（使用PHP的ORM框架Laravel）：

```PHP

// 定义一个User模型

class User extends Model

{

protected $guarded = [];

}

// 创建一个新用户

$name = $_POST['name'];

$email = $_POST['email'];

$password = $_POST['password'];

User::create([

'name' => $name,

'email' => $email,

'password' => Hash::make($password)

]);

4. 最小化数据库权限：为了减少攻击者利用注入漏洞的机会，数据库用户应该只被授予执行最小所需操作的权限。例如，如果一个用户只需要查询数据，则应该被授予只能执行查询操作的权限，而不是拥有完全的读写权限。

5. 输入数据编码：在将用户输入数据用于数据库查询之前，需要对数据进行编码，以确保特殊字符在查询中被正确转义。例如，可以使用MySQL提供的函数如`mysql_real_escape_string()`或者使用数据库驱动提供的编码转义方法。

示例代码（使用PHP的PDO的`quote()`方法进行编码）：

```PHP

$username = $db->quote($_POST['username']);

$password = $db->quote($_POST['password']);

$sql = "SELECT * FROM users WHERE username = $username AND password = $password";

总结：

通过使用参数化查询、输入数据验证与过滤、使用ORM工具、最小化数据库权限和输入数据编码等方法，可以有效地防止SQL注入攻击。然而，注入攻击是一项不断演变的技术，因此还需要定期更新和保持警惕，以确保数据库的安全性。