要防止SQL注入，您需要確保在將用戶提供的數據插入數據庫之前對其進行適當的驗證和轉義。以下是使用PHP來防止SQL注入的一些建議：

1. 使用預處理語句（Prepared Statements）和參數化查詢：預處理語句將查詢和數據分開，這樣數據庫引擎就可以預先知道要執行的查詢的結構，而無需擔心用戶提供的數據。使用參數化查詢可以確保用戶提供的數據不會被解釋為SQL代碼。

例如，使用PDO（PHP Data Objects）庫：

$pdo = new PDO("mysql:host=localhost;dbname=mydb", "username", "password");
$stmt = $pdo->prepare("INSERT INTO users (username, email) VALUES (:username, :email)");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':email', $email);
$username = $_POST['username'];
$email = $_POST['email'];
$stmt->execute();

使用MySQLi庫：

$mysqli = new mysqli("localhost", "username", "password", "mydb");
$stmt = $mysqli->prepare("INSERT INTO users (username, email) VALUES (?, ?)");
$stmt->bind_param("ss", $username, $email);
$username = $_POST['username'];
$email = $_POST['email'];
$stmt->execute();

2. 使用內置的PHP函數來轉義特殊字符：對于某些數據，您可以使用PHP的內置函數來轉義特殊字符，例如addslashes()或htmlspecialchars()。但請注意，這些方法可能無法防止所有類型的SQL注入攻擊，因此最好還是使用預處理語句。

例如，使用addslashes()：

$username = addslashes($_POST['username']);
$email = addslashes($_POST['email']);
$sql = "INSERT INTO users (username, email) VALUES ('$username', '$email')";

3. 限制用戶輸入的長度和類型：對于某些數據，您可以限制其長度和類型，以防止潛在的SQL注入攻擊。例如，您可以限制電子郵件地址的長度，并確保它符合電子郵件地址的格式。

4. 使用Web應用防火墻（WAF）：WAF可以幫助檢測和阻止SQL注入攻擊。它可以分析HTTP請求，并根據預定義的規則識別潛在的攻擊。

總之，使用預處理語句和參數化查詢是防止SQL注入的最有效方法。同時，您還可以采取其他措施，如驗證和轉義用戶輸入，以及使用WAF，來提高應用程序的安全性。