防止SQL注入是Web开发中的一个重要安全措施。在PHP中，有多种方法可以用来防止SQL注入攻击。以下是一些常见的方法：

使用预处理语句（Prepared Statements）和参数化查询：

预处理语句是一种将SQL语句的结构与数据分开的方法。通过使用占位符（如?）来表示SQL语句中的数据部分，然后在执行语句时绑定参数，可以有效防止SQL注入。例如，使用PDO（PHP Data Objects）进行预处理语句：

$pdo = new PDO('mysql:host=example.com;dbname=testdb', 'username', 'password');$stmt = $pdo->prepare('INSERT INTO users (username, email) VALUES (?, ?)');$stmt->bindParam(1, $username);$stmt->bindParam(2, $email);$username = 'user';$email = 'user@example.com';$stmt->execute();

使用ORM（对象关系映射）工具：

ORM工具如Eloquent（Laravel框架）或Doctrine可以将数据库操作抽象为面向对象的操作，从而减少直接拼接SQL语句的风险。例如，使用Eloquent进行插入操作：

$user = new User;$user->username = 'user';$user->email = 'user@example.com';$user->save();

输入验证和过滤：

对用户输入进行严格的验证和过滤，确保输入符合预期的格式和类型。例如，使用PHP内置的过滤函数：

$username = filter_var($username, FILTER_SANITIZE_STRING);$email = filter_var($email, FILTER_SANITIZE_EMAIL);

使用最小权限原则：

确保数据库连接使用的账户只有必要的最小权限，例如只能读取数据而不能写入数据。例如，创建一个仅用于读取的数据库用户：

CREATE USER 'readonlyuser'@'localhost' IDENTIFIED BY 'password';GRANT SELECT ON database_name.* TO 'readonlyuser'@'localhost';

错误处理：

避免在错误消息中暴露数据库结构或敏感信息，使用自定义错误处理机制。例如，设置PDO的错误模式为异常：

$pdo = new PDO('mysql:host=example.com;dbname=testdb', 'username', 'password');$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

通过以上方法，可以有效地防止SQL注入攻击，保护应用程序和数据库的安全。