PHP PDO注入是Web開發中一個常見的安全問題。當用戶從前端向數據庫提交請求時，PHP的PDO庫可以幫助我們更加安全地處理輸入數據。然而，如果不小心使用不當，PDO庫也會存在一些問題。

最常見的注入攻擊是通過參數化查詢時忘記對輸入參數進行綁定而導致的。下面是一個實際漏洞的代碼示例：

$stmt = $dbh->prepare("SELECT * FROM users WHERE username = '" . $_GET['username'] . "'");
$stmt->execute();
$result = $stmt->fetch(PDO::FETCH_ASSOC);

在上面的代碼中，用戶可以通過URL參數提交“username”值進入查詢語句。如果攻擊者將“username”參數設置為合法的用戶名后附加字符串注入攻擊，就可以執行任意SQL查詢語句，如：

' or '1'='1

相當于把查詢改為了“SELECT * FROM users WHERE username = '' or '1'='1'”，這樣就可以通過這條SQL語句繞過用戶認證，竊取用戶信息甚至是管理員權限。

PDO提供了命名參數和位置參數兩種綁定方式。使用命名參數時，在SQL查詢語句中通過“:參數名”指定參數，例如：

$stmt = $dbh->prepare("SELECT * FROM users WHERE username = :username");
$stmt->bindValue(':username', $_GET['username']);
$stmt->execute();
$result = $stmt->fetch(PDO::FETCH_ASSOC);

這樣就更加安全，因為任何需要輸入的值都會被自動轉義和限制為合法的字符集。使用位置參數時，則需要在SQL查詢語句中用“?”占位符表示要綁定的參數：

$stmt = $dbh->prepare("SELECT * FROM users WHERE username = ?");
$stmt->bindParam(1, $_GET['username']);
$stmt->execute();
$result = $stmt->fetch(PDO::FETCH_ASSOC);

無論是使用命名參數還是位置參數，都能保證查詢中的任何輸入值都會被正確轉義，從而避免了SQL注入漏洞。

除了使用參數化查詢，在PHP代碼中還有其他的PDO安全風險需要特別注意。例如，不要將輸入信息在動態字符串中拼接起來，以防輸入值包含惡意字符：

$column = $_GET['column'];
$stmt = $dbh->query('SELECT * FROM my_table ORDER BY ' . $column);
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);

如果該注入漏洞被利用，攻擊者可以對“column”參數進行變量控制，從而可以在“ORDER BY”語句中執行語句注入攻擊。

為了防止這種攻擊，應該使用PDO中提供的quote()和bindParam()函數，或者使用預定義常量，以確保值被正確轉義和限制字符集合。

最后，在開發過程中，為盡可能避免注入攻擊，還要明確輸入驗證和過濾策略。雖然PDO提供了一些基本的安全措施，但它也不能保證100%的安全性。安全性可以類比防火墻和鎖屏密碼，而應在整個應用程序生命周期中保持嚴密的關注。