代码注入（Code Injection）是一种安全漏洞，它发生在应用程序中，允许攻击者将恶意代码插入到应用程序的执行流程中。攻击者通过利用代码注入漏洞，将恶意代码注入到应用程序中的执行环境中，从而执行未经授权的操作、获取敏感信息或者对系统进行破坏。

下面是常见的三种代码注入攻击及其示例：

SQL注入（SQL Injection）

攻击者通过在应用程序的SQL查询语句中插入恶意的SQL代码，以获取数据库中的敏感信息或者修改数据库数据。

示例代码：

username := r.FormValue("username")password := r.FormValue("password")query := fmt.Sprintf("SELECT * FROM users WHERE username='%s' AND password='%s'", username, password)

在上面的示例中，如果用户输入的`username`或`password`参数中包含恶意的SQL代码，如`' OR '1'='1' --`，那么恶意代码将被注入到SQL查询语句中，导致查询条件被篡改，从而绕过认证或者获取所有用户的信息。

命令注入（Command Injection）：

攻击者通过在应用程序的系统命令执行语句中插入恶意的命令，以执行未经授权的操作或者获取敏感信息。

示例代码：

filename := r.FormValue("filename")command := fmt.Sprintf("ls %s", filename)output, err := exec.Command("/bin/sh", "-c", command).Output()

在上面的示例中，如果用户输入的`filename`参数中包含恶意的命令，如`file.txt; rm -rf *`，那么恶意命令将被注入到`ls`命令中，导致执行了除列出文件之外的其他命令，可能导致数据丢失或系统破坏。

XSS注入（Cross-Site Scripting Injection）

攻击者通过在应用程序的输出中插入恶意的脚本代码，以获取用户的敏感信息、劫持会话或者进行其他恶意操作。

示例代码：

username := r.FormValue("username")fmt.Printf("Welcome, %s!", username)

在上面的示例中，如果用户输入的`username`参数中包含恶意的脚本代码，如`<script>alert('XSS')</script>`，那么恶意脚本将被注入到输出中，导致浏览器执行该脚本并弹出一个弹窗，攻击者可以通过该脚本获取用户的敏感信息。