在PHP中，防止SQL注入的方法有很多。下面是一些建議：

1. 預編譯語句（Prepared Statements）和參數化查詢：使用預編譯語句可以確保用戶輸入的數據不會被解釋為SQL代碼的一部分。這是目前有效防范SQL注入攻擊的最佳實踐。例如，使用PDO（PHP Data Objects）或MySQLi擴展名來實現預編譯語句。

// 使用PDO
$pdo = new PDO("mysql:host=localhost;dbname=mydb", "username", "password");
$stmt = $pdo->prepare("INSERT INTO users (username, password) VALUES (:username, :password)");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->execute();

// 使用MySQLi
$mysqli = new mysqli("localhost", "username", "password", "mydb");
$stmt = $mysqli->prepare("INSERT INTO users (username, password) VALUES (?, ?)");
$stmt->bind_param("ss", $username, $password);
$stmt->execute();

2. 輸入驗證：對用戶輸入的數據進行驗證，確保它們符合預期的格式。例如，可以使用正則表達式來驗證電子郵件地址的格式。

3. 轉義特殊字符：在將用戶輸入的數據插入到SQL查詢中之前，使用PHP提供的轉義函數（如addslashes()或mysqli_real_escape_string()）來轉義可能導致SQL注入的特殊字符。但這種方法不如預編譯語句安全。

// 使用addslashes()
$username = addslashes($username);
$password = addslashes($password);
$sql = "SELECT * FROM users WHERE username='$username' AND password='$password'";

// 使用mysqli_real_escape_string()
$username = mysqli_real_escape_string($mysqli, $username);
$password = mysqli_real_escape_string($mysqli, $password);
$sql = "SELECT * FROM users WHERE username='$username' AND password='$password'";

4. 使用最小權限原則：為數據庫連接分配盡可能低的權限，這樣即使攻擊者成功執行了SQL注入攻擊，他們也無法訪問或修改數據庫中的敏感數據。

5. 更新和維護軟件：定期更新PHP、數據庫管理系統和其他相關軟件，以修復可能存在的安全漏洞。

總之，預編譯語句和參數化查詢是防止SQL注入的最有效方法。同時，結合輸入驗證、轉義特殊字符、使用最小權限原則以及定期更新軟件，可以進一步提高應用程序的安全性。