无论你最终使用的是什么，确保你的输入没有被magic_quotes或其他善意的垃圾破坏，如果有必要的话，通过条带斜杠或其他方式来清理它。

要使用参数化查询，需要使用Mysqli或PDO。要用mysqli重写示例，我们需要以下内容。

<?php
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("server", "username", "password", "database_name");

$variable = $_POST["user-input"];
$stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");
// "s" means the database expects a string
$stmt->bind_param("s", $variable);
$stmt->execute();

你想在那里读到的关键函数是mysqli:：prepare。

此外，正如其他人所建议的，您可能会发现使用PDO之类的东西来提升抽象层是有用的/更容易的。

请注意，您询问的案例相当简单，更复杂的案例可能需要更复杂的方法。特别地：

如果您希望根据用户输入更改SQL的结构，参数化查询将不会有帮助，并且mysql_real_ascape_string不包含所需的转义。在这种情况下，最好通过白名单传递用户的输入，以确保只允许通过“安全”值。

一个简单的方法是使用像CodeIgniter或Laravel这样的PHP框架，它具有内置的过滤和活动记录等功能，因此您不必担心这些细微差别。

一个好主意是使用像Idiorm这样的对象关系映射器：

$user = ORM::for_table('user')
->where_equal('username', 'j4mie')
->find_one();

$user->first_name = 'Jamie';
$user->save();

$tweets = ORM::for_table('tweet')
    ->select('tweet.*')
    ->join('user', array(
        'user.id', '=', 'tweet.user_id'
    ))
    ->where_equal('user.username', 'j4mie')
    ->find_many();

foreach ($tweets as $tweet) {
    echo $tweet->text;
}

它不仅可以避免SQL注入，还可以避免语法错误！它还支持具有方法链接的模型集合，以一次过滤或将操作应用于多个结果和多个连接。

不推荐的警告：这个答案的示例代码（与问题的示例代码一样）使用了PHP的MySQL扩展，该扩展在PHP 5.5.0中被弃用，在PHP 7.0.0中被完全删除。安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。使用以下概述的策略，风险自负。（此外，在PHP7中删除了mysql_real_ascape_string（）。）

使用PDO和MYSQLi是防止SQL注入的好方法，但如果您真的想使用MySQL函数和查询，最好使用

mysql_real_reape_string

$unsafe_variable = mysql_real_escape_string($_POST['user_input']);

还有更多的功能可以防止这种情况：比如识别-如果输入是字符串、数字、字符或数组，那么有很多内置函数可以检测这种情况。此外，最好使用这些函数来检查输入数据。

is_string（is_string）

$unsafe_variable = (is_string($_POST['user_input']) ? $_POST['user_input'] : '');

是数字（_N）

$unsafe_variable = (is_numeric($_POST['user_input']) ? $_POST['user_input'] : '');

使用这些函数来检查mysql_real_aescape_string中的输入数据要好得多。

无论你最终使用的是什么，确保你的输入没有被magic_quotes或其他善意的垃圾破坏，如果有必要的话，通过条带斜杠或其他方式来清理它。