當我們在一個網站上輸入一些數據時，這些數據將會被提交到服務器上的一個PHP文件進行處理。如果這個PHP文件沒有被正確的處理和驗證，那么黑客就可以利用其進行PHP Injection攻擊。這種攻擊可以讓攻擊者獲得更高的權限，獲取敏感信息，或者進行其他惡意行為。

下面是一個例子：網站上有一個讓用戶輸入用戶名和密碼的登陸頁面，PHP腳本會檢查輸入的信息是否正確。當我們輸入了以下數據：

username: ' OR 1=1--
password: 1234

這個信息會被轉化成以下SQL語句：

SELECT * FROM users WHERE username='' OR 1=1--' AND password='1234'

由于1=1永遠為真，所以這個SQL語句將會返回數據庫中所有的用戶的信息，從而允許攻擊者進入受害者的賬戶。

可以通過以下幾種方法來防止PHP Injection攻擊。

1. 防止注入代碼進入

$username = mysqli_real_escape_string($conn, $_POST['username']);
$password = mysqli_real_escape_string($conn, $_POST['password']);
$sql = "SELECT * FROM users WHERE username='$username' AND password='$password'";

使用mysqli_real_escape_string函數來過濾用戶輸入的變量，這樣能夠確保注入的代碼被轉義，從而防止攻擊者在用戶名和密碼字段中插入惡意代碼。

2. 檢查輸入的數據格式

if (!filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)) {
echo "Invalid email address";
}

使用filter_var函數來檢查輸入的數據格式是否正確。例如在這個例子中，我們可以用filter_var來檢查輸入的電子郵件地址是否符合格式。

3. 限制用戶輸入的長度

if (strlen($_POST['username']) >50) {
echo "Username is too long";
}

通過限制用戶輸入的長度，可以減少注入攻擊的風險。

綜上所述，防止PHP Injection攻擊是非常重要的。在編寫PHP代碼時，開發者必須要注意避免任何可能的漏洞。通過正確的代碼過濾和驗證，我們可以有效地減少注入攻擊的風險，從而保護用戶的個人信息和網站的安全。