在網站開發中，防止SQL注入攻擊是非常重要的一個問題。為了保護網站的安全，我們需要使用PHP的SQL防注入函數。本文將簡單介紹其中的一些函數，并舉例說明。

在使用SQL語句查詢數據庫時，SQL注入攻擊是最常見的攻擊方式之一。攻擊者會在原始SQL語句中注入一些惡意代碼，從而執行他們自己的操作。比如下面這個最簡單的SQL注入攻擊：

SELECT * FROM users WHERE name='admin' AND password='password' OR 1=1;

這個SQL語句會返回所有用戶的記錄，因為1=1是一個恒定為真的條件。

為了防止這種攻擊，我們需要使用PHP的SQL防注入函數。其中最常用的函數是mysqli_real_escape_string()和PDO::quote()。他們的作用是將用戶輸入的特殊字符進行轉義，使其在SQL語句中成為普通字符而不是命令或關鍵字。

mysqli_real_escape_string()函數：

$mysqli = new mysqli("localhost", "username", "password", "database_name");
$username = mysqli_real_escape_string($mysqli, $_POST['username']);
$password = mysqli_real_escape_string($mysqli, $_POST['password']);
$sql = "SELECT * FROM users WHERE username='$username' AND password='$password'";
$result = mysqli_query($mysqli, $sql);

上面的代碼演示了如何使用mysqli_real_escape_string()函數。通過使用該函數，我們將用戶輸入的$username和$password變成了安全的字符串，并將它們插入到SQL語句中。雖然攻擊者可能仍然會嘗試注入攻擊，但是由于特殊字符已經被轉義，攻擊者不可能再注入成功。

PDO::quote()函數：

$dsn = "mysql:host=localhost;dbname=database_name";
$username = "username";
$password = "password";
$pdo = new PDO($dsn, $username, $password);
$username = $pdo->quote($_POST['username']);
$password = $pdo->quote($_POST['password']);
$sql = "SELECT * FROM users WHERE username=$username AND password=$password";
$result = $pdo->query($sql);

上面的代碼演示了如何使用PDO::quote()函數。該函數的作用與mysqli_real_escape_string()函數類似，將特殊字符轉義成為普通字符。由于PDO中的quote()函數同時還具有將字符串用引號括起來的功能，它返回的字符串比mysqli_real_escape_string()函數返回的字符串更適合用于SQL語句中的字符串值。

除了以上介紹的兩個函數之外，還有一些其他的PHP防注入函數，如addslashes()、htmlentities()、htmlspecialchars()等。但是這些函數并不完全可靠，因此在實際應用中應當謹慎使用。

在編寫PHP代碼時，使用SQL防注入函數是保護網站的重要一環。通過本文的介紹，我們了解了兩個常見的函數mysqli_real_escape_string()和PDO::quote()的使用方法，并且懂得了為什么必須進行防注入操作。我們應當在實際編寫PHP代碼時時刻警醒，避免給攻擊者留下可趁之機。