在PHP中，我們經常會使用DAO（數據訪問對象）模式來操作數據庫。在DAO類中，我們需要編寫SQL語句來進行數據庫操作。本文將介紹一些在DAO類中編寫SQL語句的最佳實踐，并通過舉例說明這些寫法的用法和優勢。

首先，我們應該避免在DAO類中直接使用用戶輸入的數據來拼接SQL語句，以免引發SQL注入漏洞。而是應該使用參數化查詢的方式，將用戶輸入的數據作為參數傳遞給SQL語句。例如，我們要查詢用戶名為"admin"的用戶信息：

$userId = $_GET['userId'];
$sql = "SELECT * FROM users WHERE userId = :userId";
$stmt = $pdo->prepare($sql);
$stmt->bindParam(':userId', $userId, PDO::PARAM_INT);
$stmt->execute();
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);

在上面的例子中，我們使用了冒號加參數名的方式來表示參數，然后使用bindParam方法將參數綁定到SQL語句中。這樣可以確保輸入的數據不會被解釋為SQL語句的一部分，從而達到防止SQL注入的目的。

另外，在編寫SQL語句時，我們應該盡量避免使用SELECT *，而是明確指定需要查詢的字段。這樣可以減少數據傳輸量，提高查詢效率。例如，我們要查詢用戶表中的用戶名和郵箱：

$sql = "SELECT username, email FROM users WHERE userId = :userId";
$stmt = $pdo->prepare($sql);
$stmt->bindParam(':userId', $userId, PDO::PARAM_INT);
$stmt->execute();
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);

在上面的例子中，我們只查詢了用戶名和郵箱這兩個字段，避免了查詢其他不需要的字段，提高了查詢效率。

此外，我們還應該注意使用索引以提高查詢效率。例如，如果我們經常根據用戶名進行查詢，就可以為用戶名字段創建一個索引：

$sql = "CREATE INDEX idx_username ON users (username)";
$stmt = $pdo->prepare($sql);
$stmt->execute();

通過創建索引，可以加快查詢速度，提高數據庫的性能。

總結起來，編寫DAO類中的SQL語句時，我們應該注意使用參數化查詢方式，避免SQL注入漏洞；明確指定需要查詢的字段，避免使用SELECT *；使用索引來提高查詢效率。通過這些最佳實踐，我們可以編寫出高效安全的DAO類，提高應用程序的性能和安全性。