PHP和MySQL的結合，讓網站開發越來越便利。但是，我們也要注意在網站開發中，如何避免SQL注入攻擊。

SQL注入就是通過思路和計算，往隨意輸入框輸入SQL語句，后臺數據庫通過SQL語句的運行，就達到了攻擊目的，導致數據泄露、遭受傷害的情況。所以，開發者需要認真對待輸入框過濾，防止這種情況的發生。

接下來，我們將介紹如何使用PHP和MySQL對數據進行過濾，以避免SQL注入攻擊。

1.使用mysql_real_escape_string函數

mysql_real_escape_string是一個可以使用的函數，可以快速的對數據進行了過濾。

<?php
$mysqli = new mysqli("localhost", "user", "password", "db");
$username = $_POST['username'];
$password = $_POST['password'];
$username = $mysqli->real_escape_string($username);
$password = $mysqli->real_escape_string($password);
$sql = "SELECT * FROM users WHERE username='$username' AND password='$password'";
$res = $mysqli->query($sql);
while ($row = $res->fetch_assoc()) {
echo $row['username'] . '<br />';
}
?>

上面的代碼使用mysql_real_escape_string函數，將用戶名和密碼過濾，確保它們是可以在查詢中使用的數據。

2.使用prepared語句

使用prepared語句來預編譯查詢，可以避免SQL注入攻擊。prepared語句需要使用參數綁定操作，這樣可以在不將可能會破壞查詢的任何含有特殊字符的數據中定義其中的內容。

<?php
$mysqli = new mysqli("localhost", "user", "password", "db");
$username = $_POST['username'];
$password = $_POST['password'];
$stmt = $mysqli->prepare("SELECT * FROM users WHERE username=? AND password=?");
$stmt->bind_param('ss', $username, $password);
$stmt->execute();
while ($row = $stmt->fetch()) {
echo $row['username'] . '<br />';
}
?>

在上述示例中，我們使用了prepare函數來創建一個新的查詢，然后使用bind_param函數來指定每個查詢的參數。最后，執行查詢并使用fetch函數在結果集中循環遍歷輸出結果。

3.使用filter_input函數

使用filter_input函數過濾輸入數據，將可以防止用戶輸入不受支持的數據。這種方法可以為整個應用程序提供一種更加統一的數據管理方式。

<?php
$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
$password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING);
$mysqli = new mysqli("localhost", "user", "password", "db");
$stmt = $mysqli->prepare("SELECT * FROM users WHERE username=? AND password=?");
$stmt->bind_param('ss', $username, $password);
$stmt->execute();
while ($row = $res->fetch_assoc()) {
echo $row['username'] . '<br />';
}
?>

上述代碼中，我們使用filter_input函數，對輸入數據進行過濾。然后使用prepare函數、bind_param函數和execute函數對數據進行查詢。

總的來說，使用PHP和MySQL對數據進行過濾，是使我們避免SQL注入攻擊的一種有效方式。開發者只需要根據需要選擇合適的過濾方法即可。