这个问题的简单替代方案可以通过在数据库本身中授予适当的权限来解决。例如：如果您使用的是MySQL数据库，则通过终端或提供的UI输入数据库，然后执行以下命令：

 GRANT SELECT, INSERT, DELETE ON database TO username@'localhost' IDENTIFIED BY 'password';

这将限制用户只能受限于指定的查询。删除删除权限，这样数据就永远不会从PHP页面发出的查询中删除。第二件事是刷新特权，以便MySQL刷新权限和更新。

FLUSH PRIVILEGES; 

有关刷新的详细信息。

要查看用户的当前权限，请启动以下查询。

select * from mysql.user where User='username';

了解更多有关GRANT的信息。

安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。使用以下概述的策略，风险自负。（此外，在PHP7中删除了mysql_real_ascape_string（）。）

警告：mysql扩展名此时被删除。我们建议使用PDO扩展

使用此PHP函数mysql_escape_string（），您可以快速获得良好的预防效果。

例如：

SELECT * FROM users WHERE name = '".mysql_escape_string($name_from_html_form)."'

mysql_escape_string-转义用于mysql_query的字符串

为了更好地预防，您可以在末尾添加。。。

wHERE 1=1   or  LIMIT 1

最后你得到：

SELECT * FROM users WHERE name = '".mysql_escape_string($name_from_html_form)."' LIMIT 1

要使用参数化查询，需要使用Mysqli或PDO。要用mysqli重写示例，我们需要以下内容。

<?php
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("server", "username", "password", "database_name");

$variable = $_POST["user-input"];
$stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");
// "s" means the database expects a string
$stmt->bind_param("s", $variable);
$stmt->execute();

你想在那里读到的关键函数是mysqli:：prepare。

此外，正如其他人所建议的，您可能会发现使用PDO之类的东西来提升抽象层是有用的/更容易的。

请注意，您询问的案例相当简单，更复杂的案例可能需要更复杂的方法。特别地：

如果您希望根据用户输入更改SQL的结构，参数化查询将不会有帮助，并且mysql_real_ascape_string不包含所需的转义。在这种情况下，最好通过白名单传递用户的输入，以确保只允许通过“安全”值。

安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。使用以下概述的策略，风险自负。

你可以做一些基本的事情，比如：

$safe_variable = mysqli_real_escape_string($dbConnection, $_POST["user-input"]);
mysqli_query($dbConnection, "INSERT INTO table (column) VALUES ('" . $safe_variable . "')");

这并不能解决所有问题，但它是一个很好的垫脚石。我省略了一些明显的项目，例如检查变量的存在性、格式（数字、字母等）。

我认为，在PHP应用程序（或任何web应用程序）中防止SQL注入的最佳方法是考虑应用程序的架构。如果防止SQL注入的唯一方法是记住使用一个特殊的方法或函数，它在每次与数据库对话时都会做正确的事情，那么这是错误的。这样，在代码的某个时刻忘记正确格式化查询只是时间问题。

采用MVC模式和CakePHP或CodeIgniter这样的框架可能是正确的方法：创建安全数据库查询等常见任务已在这些框架中得到解决并集中实现。它们可以帮助您以合理的方式组织web应用程序，并让您更多地考虑加载和保存对象，而不是安全地构造单个SQL查询。

不推荐的警告：这个答案的示例代码（与问题的示例代码一样）使用了PHP的MySQL扩展，该扩展在PHP 5.5.0中被弃用，在PHP 7.0.0中被完全删除。安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。使用以下概述的策略，风险自负。（此外，在PHP7中删除了mysql_real_ascape_string（）。）重要的防止SQL注入的最佳方法是使用Prepared语句而不是转义，正如公认的答案所示。有Aura.Sql和EasyDB这样的库可以让开发人员更容易地使用准备好的语句。若要了解更多有关为什么准备好的语句更善于停止SQL注入的信息，请参阅此mysql_real_ascape_string（）旁路以及最近修复的WordPress中的Unicode SQL注入漏洞。

注入预防-mysql_real_ascape_string（）

PHP有一个专门制作的函数来防止这些攻击。您所需要做的就是使用一个函数，mysql_real_aescape_string。

mysql_real_aescape_string获取一个将在mysql查询中使用的字符串，并返回同一个字符串，所有SQL注入尝试都安全逃脱。基本上，它会将用户可能输入的那些麻烦的引号（'）替换为MySQL安全的替代品，即转义引号“”。

注意：您必须连接到数据库才能使用此功能！

//连接到MySQL

$name_bad = "' OR 1'"; 

$name_bad = mysql_real_escape_string($name_bad);

$query_bad = "SELECT * FROM customers WHERE username = '$name_bad'";
echo "Escaped Bad Injection: <br />" . $query_bad . "<br />";


$name_evil = "'; DELETE FROM customers WHERE 1 or username = '"; 

$name_evil = mysql_real_escape_string($name_evil);

$query_evil = "SELECT * FROM customers WHERE username = '$name_evil'";
echo "Escaped Evil Injection: <br />" . $query_evil;

您可以在MySQL-SQL注入预防中找到更多详细信息。