使用prepared以及參數綁定查詢可根本性防止sql注入的發生：SQL語句與參數分批傳輸到sql服務器的方式讓利用字符串拼接的SQL注入沒有了施展空間。

基本上你有兩種方式完成上述方法：

使用PDO:

1. $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); 
2. $stmt->execute(array('name' => $name)); 
3. foreach ($stmt as $row) { 
4.     // do something with $row 
5. } 

2.使用MySQLi

1. $stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); 
2. $stmt->bind_param('s', $name); 
3.  
4. $stmt->execute(); 
5. //Vevb.com 
6. $result = $stmt->get_result(); 
7. while ($row = $result->fetch_assoc()) { 
8.     // do something with $row 
9. } 

正確的配置數據庫連接

注意當你用PDO方式訪問MySQLs時，使用真正的prepared 語句方式并不是默認設置。所以你必須禁止模擬prepared模式：

1. $dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); 
2.  
3. $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); 
4. $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 

以上語句中對錯誤模式的設置并不是必須的，但我強烈推薦加上它。這樣腳本就不會因為數據庫的”Fatal Error”而停止，而是拋出一個PDOExceptions,從而讓你能夠抓取到這個異常。