在PHP中防止SQL注入攻击的一个常见方法是使用预处理语句（prepared statements）或参数化查询。以下是实现这种防护的一般步骤： 1. 使用PDO（PHP Data Objects）或MySQLi扩展连接到数据库。 2. 在执行SQL查询之前，使用预处理语句或参数化查询来准备SQL语句。这将确保输入数据不会被解释为SQL代码的一部分。 例如，使用PDO来准备一个查询语句： ```php $pdo = new PDO("mysql:host=localhost;dbname=mydatabase", "username", "password"); $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password"); ``` 3. 在执行查询之前，绑定参数到预处理语句中的占位符。确保将用户提供的输入作为参数传递，而不是将其直接插入SQL语句中。 ```php $username = $_POST['username']; $password = $_POST['password']; $stmt->bindParam(':username', $username); $stmt->bindParam(':password', $password); ``` 4. 执行查询语句。 ```php $stmt->execute(); ``` 通过使用预处理语句或参数化查询，PHP会自动转义特殊字符，从而防止SQL注入攻击。这种方法可以有效地保护你的应用程序免受恶意用户输入的攻击。