PHP SQL注入攻擊是指攻擊者利用Web應用程序的輸入界面向服務器發送非法的SQL查詢語句，從而獲取更多的敏感信息的行為。

下面，讓我們來看一些示例來說明注入攻擊具體是怎么發生的：

// SQL查詢
$select = "SELECT * FROM userinfo WHERE username='" . $_POST['username'] . "' AND password='" . $_POST['password'] . "'";

在上述代碼中，攻擊者可以通過在輸入USERNAME框中輸入“'OR '1' = '1”來欺騙查詢，從而一次從數據庫中檢索出敏感信息。 這是因為攻擊者已經成功地改變了輸入數據并更改了SQL表達式的行為。

因此，為有效防范SQL注入攻擊，我們可以使用以下一些方法：

1. 使用參數化查詢

// 使用PDO的參數化查詢方法
$db = new PDO('mysql:host=localhost;dbname=test', $user, $pass);
$select = "SELECT * FROM userinfo WHERE username=:username AND password=:password";
$stmt = $db->prepare($select);
$stmt->bindParam(':username', $_POST['username']);
$stmt->bindParam(':password', $_POST['password']);
$stmt->execute();

參數化查詢方法可以保證SQL明確，同時避免了與用戶輸入相關的SQL注入攻擊。 此外，它提供了更好的可讀性和更好的性能。

2. 過濾輸入字符串

// 針對輸入的特殊字符進行過濾
$username = mysqli_real_escape_string($_POST['username']);
$password = mysqli_real_escape_string($_POST['password']);
$select = "SELECT * FROM userinfo WHERE username='" . $username . "' AND password='" . $password . "'";

過濾輸入字符串方法使用多種方法（如mysqli_real_escape_string函數）來檢查和清除SQL表達式中的輸入字符串中的特別字符。

3. 最小化錯誤信息

// 確保錯誤信息僅在不可避免的情況下被傳輸
ini_set('display_errors', 'off');
error_reporting('0');

在生產環境中，應最小化可能泄露有關應用程序和服務器的敏感信息。

雖然以上方法可以有效防范SQL注入攻擊，但我們仍應時刻保持警惕，及時更新代碼并規范Web應用程序的開發流程。