PHP作為一種服務器端腳本語言，常會與數據庫進行交互，而SQL注入攻擊也屢見不鮮。為此，我們需要對于PHP中關于SQL操作有所掌握，特別是在使用PDO進行數據庫操作時，要做到防止SQL注入。

SQL注入攻擊是利用某些程序沒有針對不當輸入進行過濾檢查，使得攻擊者可以向數據庫中注入惡意的SQL語句，從而獲得非法訪問或者竊取數據等等。攻擊者通過在參數中注入SQL語句，讓程序誤以為這是真正的參數，這樣就可以執行惡意的SQL語句。

所以，如何防止SQL注入攻擊是一個重要的問題。這時，我們可以使用PDO(PHP Data Objects)來構建PHP程序，PDO提供了安全、簡單、高效的PDO API，可以連接一系列數據庫，并且提供事務支持和準備語句。

下面我們通過實例來看看PDO如何防止SQL注入：

<code class="language-php"><?php  
$pdo = new PDO('mysql:host=localhost;dbname=test', 'user', 'pass');  
$name = $_POST['name'];  
$age = $_POST['age'];  
$stmt = $pdo->prepare('INSERT INTO users (name, age) VALUES(:name, :age)');  
$stmt->bindValue(':name', $name);  
$stmt->bindValue(':age', $age);  
$stmt->execute();  
?>

在這個例子中，我們通過PDO的prepare()方法來準備參數化的SQL語句，使用bindValue()方法來給參數綁定數值，最后使用execute()執行SQL語句。

例如，如果用戶輸入的$name為“' or 1=1”，則SQL語句會變為“INSERT INTO users (name, age) VALUES('' or 1=1', :age)”。

然而，我們采用了PDO，所以PDO會將上面的句子的特殊字符轉義，從而避免了注入SQL的攻擊。

總之，雖然PDO防止SQL注入的機制并不完美，且復雜度較高，但是它擁有出色的性能、豐富的接口，可以支持多種數據庫，并且在防止SQL注入方面有很實用的思想，是Web應用開發中非常重要的一個環節。