使用mysqli防范SQL注入的關鍵在于正確使用預處理語句（prepared statements）和參數綁定。以下是一些關鍵步驟和最佳實踐：

1. 使用mysqli對象：確保你使用的是mysqli對象而不是mysql對象，因為mysqli提供了預處理語句的支持。
2. 創建預處理語句：使用mysqli_prepare()函數創建一個預處理語句。這個函數接受兩個參數：數據庫連接對象和SQL語句字符串。
3. 綁定參數：使用mysqli_stmt_bind_param()函數將參數綁定到預處理語句中。這個函數接受三個參數：預處理語句對象、變量類型數組和變量值數組。注意，變量類型數組中的每個元素對應一個參數，類型應該是mysqli_param_type_*中的一個，例如MYSQLI_PARAM_INT、MYSQLI_PARAM_STR等。
4. 執行預處理語句：使用mysqli_stmt_execute()函數執行預處理語句。這個函數將準備并綁定參數后，發送給數據庫服務器執行。
5. 獲取結果：如果需要獲取查詢結果，可以使用mysqli_stmt_get_result()函數獲取結果集對象，然后使用mysqli_fetch_*()函數遍歷結果集。

以下是一個簡單的示例代碼，展示了如何使用mysqli防范SQL注入：

$mysqli = new mysqli("localhost", "username", "password", "database");

// 檢查連接
if ($mysqli->connect_error) {
    die("連接失敗: " . $mysqli->connect_error);
}

// 創建預處理語句
$stmt = $mysqli->prepare("INSERT INTO users (username, password) VALUES (?, ?)");

// 綁定參數
$stmt->bind_param("ss", $username, $password);

// 設置參數值
$username = "exampleUser";
$password = "examplePassword";

// 執行預處理語句
if ($stmt->execute()) {
    echo "新記錄插入成功";
} else {
    echo "Error: " . $stmt->error;
}

// 關閉預處理語句和數據庫連接
$stmt->close();
$mysqli->close();

在這個示例中，我們創建了一個預處理語句來插入用戶名和密碼到users表中。通過使用參數綁定，我們將用戶輸入的值與SQL語句中的占位符分開，從而避免了SQL注入的風險。