MySQL注入攻擊是一種常見的網(wǎng)絡安全問題，攻擊者可以通過輸入特定的SQL語句參數(shù)來向數(shù)據(jù)庫中插入惡意代碼，這種攻擊方式十分危險，可以導致數(shù)據(jù)泄露、系統(tǒng)崩潰等嚴重后果。因此，在開發(fā)Web應用時，我們必須采取措施來防范此類攻擊，其中，最常用的方法就是通過過濾輸入?yún)?shù)來阻止注入攻擊。

<?php
//連接到數(shù)據(jù)庫
$db_host = "localhost";
$db_user = "root";
$db_password = "123456";
$db_database = "test";
$link = mysqli_connect($db_host,$db_user,$db_password,$db_database);
//檢查用戶輸入
if(isset($_GET['id'])){
//使用mysqli_real_escape_string()函數(shù)過濾參數(shù)
$id = mysqli_real_escape_string($link,$_GET['id']);
//查詢數(shù)據(jù)庫中對應id的記錄
$sql = "SELECT * FROM user WHERE id=$id";
$result = mysqli_query($link,$sql);
//輸出查詢結果
//...
}
?>

以上代碼演示了如何通過使用mysqli_real_escape_string()函數(shù)來過濾用戶輸入，該函數(shù)可以將輸入字符串中的特殊字符進行轉義，從而避免了SQL注入攻擊。當然，這只是一個簡單的例子，在實際開發(fā)中，還需要根據(jù)具體業(yè)務場景來選擇合適的過濾函數(shù)。

除了過濾輸入?yún)?shù)外，還可以采用一些其他的防護措施來增強系統(tǒng)的安全性，例如：

<?php
//使用PDO連接到數(shù)據(jù)庫
$db_host = "localhost";
$db_user = "root";
$db_password = "123456";
$db_database = "test";
$dsn = "mysql:host=$db_host;dbname=$db_database";
$options = array(PDO::ATTR_ERRMODE=>PDO::ERRMODE_EXCEPTION);
$link = new PDO($dsn,$db_user,$db_password,$options);
//使用預處理語句來進行操作
if(isset($_GET['id'])){
//使用bindParam()方法綁定參數(shù)
$id = $_GET['id'];
$stmt = $link->prepare("SELECT * FROM user WHERE id=:id");
$stmt->bindParam(":id",$id);
//執(zhí)行查詢操作
$stmt->execute();
//輸出查詢結果
//...
}
?>

這段代碼中使用了PDO來連接到數(shù)據(jù)庫，同時使用了預處理語句來進行操作，預處理語句可以將SQL語句和參數(shù)分開，從而大大降低了注入攻擊的風險。在實際開發(fā)中，我們可以根據(jù)業(yè)務需求和實際情況來選擇不同的防護措施，以保證系統(tǒng)的安全性。