MySQL 是一個流行的關系型數據庫管理系統(tǒng)，它的安全性非常關鍵。其中一項安全措施就是防止 SQL 注入攻擊。在應用程序中，輸入的參數應該使用參數綁定，而不是直接拼接字符串。此外，還可以通過過濾不合法字符來防止 SQL 注入攻擊。

// 防止 SQL 注入攻擊的代碼示例
$username = $_POST['username'];
$password = $_POST['password'];
// 方式一：使用參數綁定
$stmt = $con->prepare('SELECT * FROM users WHERE username = ? AND password = ?');
$stmt->bind_param('ss', $username, $password);
$stmt->execute();
// 方式二：過濾不合法字符
$username = mysqli_real_escape_string($con, $_POST['username']);
$password = mysqli_real_escape_string($con, $_POST['password']);
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
$result = mysqli_query($con, $sql);

通過使用以上兩種方式，可以在一定程度上防止 SQL 注入攻擊。但是，我們還需要注意一些細節(jié)。例如，如果我們過濾了一些字符，可能會導致一些合法的輸入被誤認為是非法字符。在使用參數綁定時，需要注意綁定的數據類型和參數順序。在使用 mysqli_real_escape_string() 函數時，需要確保已經與數據庫建立了連接。