A. 利用数据库错误信息泄露来猜测表结构；使用WAF（Web应用防火墙）拦截恶意请求

✅ B. 通过拼接字符串改变SQL语句的原始逻辑，使得条件恒为真；使用参数化查询（Prepared Statement）

C. 通过注入UNION查询获取其他表的数据；对输入进行简单的黑名单过滤

D. 利用时间延迟函数进行盲注；关闭数据库的错误回显功能

答案解析

题干中的攻击语句 ' OR '1'='1' -- 通过闭合原有单引号并添加恒真条件'1'='1'，再用注释符 -- 注释掉后续SQL语句，从而绕过了密码验证，这是典型的基于字符串拼接的SQL注入。参数化查询（Prepared Statement）将SQL语句与数据分离，由数据库引擎预编译，用户输入仅作为参数传递，不会改变SQL语句结构，因此能有效防范此类注入。选项A中的WAF可辅助防御但非最根本措施；选项C的黑名单过滤容易被绕过；选项D关闭错误回显仅增加攻击难度，不能阻止注入本身。