**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# SQL Injection 攻擊規則陳述式
<a name="waf-rule-statement-type-sqli-match"></a>

本節說明什麼是 SQL Injection 規則陳述式及其運作方式。

SQL Injection 規則陳述式會檢查是否有惡意 SQL 程式碼。攻擊者會將惡意 SQL 程式碼插入 Web 請求，以執行修改資料庫或從中擷取資料等動作。

## 規則陳述式特性
<a name="sqli-match-characteristics"></a>

**可巢狀** – 您可以巢狀化此陳述式類型。

**WCUs** – 基本成本取決於規則陳述式的敏感度等級設定：Low成本 20，High成本 30。

如果您使用請求元件 **所有查詢參數**，請新增 10 WCUs。如果您使用請求元件 **JSON 內文**，請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**，新增 10 WCUs。

此陳述式類型在 Web 請求元件上運作，且需要下列請求元件設定：
+ **請求元件** – 要檢查的 Web 請求部分，例如查詢字串或內文。
**警告**  
如果您檢查請求元件**內**文、**JSON 內文**、**標頭**或 **Cookie**，請閱讀有關 AWS WAF 可檢查多少內容的限制[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。

  如需 Web 請求元件的詳細資訊，請參閱 [在 中調整規則陳述式設定 AWS WAF](waf-rule-statement-fields.md)。
+ **選用文字轉換** – AWS WAF 您想要在檢查請求元件之前對請求元件執行的轉換。例如，您可以將 轉換為小寫或標準化空格。如果您指定多個轉換， 會依列出的順序 AWS WAF 處理它們。如需相關資訊，請參閱[在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。

此外，此陳述式需要下列設定：
+ **敏感度層級** – 此設定會調整 SQL Injection 比對條件的敏感度。選項包括 LOW 和 HIGH. 預設設定為 LOW。

  HIGH 設定會偵測更多 SQL Injection 攻擊，而 是建議設定。由於敏感度較高，此設定會產生更多誤報，特別是當您的 Web 請求通常包含不尋常的字串時。在保護套件 (Web ACL) 測試和調校期間，您可能需要執行更多工作來緩解誤報。如需相關資訊，請參閱[測試和調校您的 AWS WAF 保護](web-acl-testing.md)。

  較低的設定提供較不嚴格的 SQL 注入偵測，這也會導致較少的誤報。 對於具有其他 SQL 注入攻擊保護或容錯能力較低的資源， LOW 可能是更好的選擇。

## 尋找此規則陳述式的位置
<a name="sqli-match-where-to-find"></a>
+ 主控台上的**規則建置器** – 針對**相符類型**，選擇**攻擊比對條件** > **包含 SQL 注入攻擊**。
+ **API** – [SqliMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SqliMatchStatement.html)