PHP和SQL注入攻擊一直是Web開發中的一個挑戰。SQL注入攻擊是指利用惡意SQL語句，通過合法的Web應用程序，來訪問或者修改數據源，從而破壞或者篡改數據。通常，這種攻擊是通過填充表單或通過請求URL中的參數來實現的。對于Web應用程序開發人員而言，防止SQL注入攻擊是一項非常重要的任務，而過濾器被認為是解決這個問題的首選方法。

為了防止SQL注入攻擊，程序員需要對輸入值進行過濾。這個過程是通過移除不必要的字符并確保輸入值是安全的來實現的。下面是幾個具有示范性的SQL注入攻擊的例子：

$username = "admin'; DROP TABLE users;--"; 
$sql = "SELECT * FROM users WHERE username = '$username'";

注意，用戶的輸入值包含一個惡意SQL語句，它嘗試刪除“users”表。由于應用程序未過濾或轉義輸入，此SQL語句會被拼接到應用程序中的任何其他SQL語句中，從而導致攻擊行為。

$username = "admin'; UPDATE users SET password = '123' WHERE username = 'admin';--"; 
$sql = "SELECT * FROM users WHERE username = '$username'";

在這個例子中，攻擊者試圖通過修改管理員的密碼來獲取管理員權限。同樣地，由于應用程序未能消毒輸入，這個惡意SQL語句被合并到其他SQL語句中去。

為了防止這些類型的攻擊，可以使用過濾器來預處理用戶輸入。以下是幾個減輕這些攻擊的過濾器技術：

1.使用PHP內置的函數進行過濾

$clean_username = filter_var($username, FILTER_SANITIZE_STRING);
$sql = "SELECT * FROM users WHERE username = '$clean_username'";

在這個例子中，PHP提供了一個過濾器函數 - filter_var()，它允許您使用不同的選項來清理用戶輸入數據。在這個示例中，選項“FILTER_SANITIZE_STRING”用于去除用戶輸入中的任何HTML標簽、JavaScript代碼和PHP標記，以便確保安全性。

2.使用PDO預處理語句

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?");
$stmt->execute(array($username));
$user = $stmt->fetch();

在這個例子中，PDO預處理語句可以通過綁定參數將用戶輸入替換為占位符，從而實現安全的查詢。該方法可以防止攻擊者向查詢中注入任何惡意的SQL語句。

3.使用自定義函數進行過濾

function clean_input($value) {
$value = trim($value);
$value = stripslashes($value);
$value = htmlspecialchars($value, ENT_QUOTES);
return $value;
}

在這個例子中，開發人員可以編寫自定義函數來過濾用戶輸入數據。在這個函數中，我們使用了三種常見的PHP函數：trim()、stripslashes() 和 htmlspecialchars()。trim()用于去除字符串前后的空格，stripslashes()用于去除反斜杠（黑客可以使用反斜杠來繞過過濾器），htmlspecialchars()用于轉義特殊字符串以防止XSS攻擊。

通過使用這些過濾器技術，您可以防止SQL注入攻擊并保護您的Web應用程序免受數據損壞或盜竊。