**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# SQL 注入攻击规则语句
<a name="waf-rule-statement-type-sqli-match"></a>

本节介绍了什么是 SQL 注入规则语句及其工作方式。

检查恶意 SQL 代码的 SQL 注入规则语句。攻击者将恶意 SQL 代码插入到 web 请求中，以执行修改数据库或从中提取数据等操作。

## 规则语句特征
<a name="sqli-match-characteristics"></a>

**嵌套**：您可以嵌套此语句类型。

**WCUs**— 基本成本取决于规则语句的灵敏度级别设置：Low成本 20，High成本 30。

如果您使用请求组件 **All 查询参数**，请添加 10 WCUs。如果您使用请求组件 **JSON 正文**，则将基本成本增加一倍 WCUs。对于您应用的每个**文本转换**，请添加 10 WCUs。

此语句类型在 web 请求组件上运行，需要以下请求组件设置：
+ **请求组件**：web 请求中要检查的部分，例如查询字符串或正文。
**警告**  
如果您检查请求组件 B **ody**、**JSON 正**文、**Header** **s 或 Cookie**，请阅读有关内容 AWS WAF 可检查数量的限制[中的 Web 请求组件过大 AWS WAF](waf-oversize-request-components.md)。

  有关请求组件的更多信息，请参阅 [在中调整规则语句设置 AWS WAF](waf-rule-statement-fields.md)。
+ **可选的文本转换**-在检查请求组件之前 AWS WAF 要对其执行的转换。例如，您可以将空格转换为小写或标准化空格。如果您指定了多个转换，则按列出的顺序 AWS WAF 处理这些转换。有关信息，请参阅[在中使用文本转换 AWS WAF](waf-rule-statement-transformation.md)。

此外，此语句需要以下设置：
+ **敏感度级别**：此设置可调整 SQL 注入匹配条件的敏感度。选项为 LOW 和 HIGH。默认设置为 LOW。

  HIGH 设置可检测更多 SQL 注入攻击，是一项推荐设置。由于灵敏度更高，此设置会生成更多的误报，尤其是在您的 web 请求通常包含异常字符串的情况下。在保护包（web ACL）测试和调整期间，您可能需要实施更多工作以减少误报。有关信息，请参阅[测试和调整您的 AWS WAF 保护措施](web-acl-testing.md)。

  设置越低，SQL 注入检测越不严格，误报也就越少。对于具有针对 SQL 注入攻击的其他保护或对误报具有低容忍度的资源，LOW 可能是一个更好的选择。

## 在何处查找规则语句
<a name="sqli-match-where-to-find"></a>
+ 控制台上的**规则生成器**：对于**匹配类型**，请选择**攻击匹配条件** > **包含 SQL 注入攻击**。
+ **API**：[SqliMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SqliMatchStatement.html)