在PHP開發中，SQL注入攻擊是一個非常常見的安全問題。當我們使用字符串拼接的方式將數據拼接到SQL語句中時，如果不對這些數據進行過濾和驗證，就很容易被惡意攻擊者利用注入攻擊手段。所以，為了避免這種情況，我們需要使用SQL參數化的方式來處理數據。下面我們就來詳細介紹一下PHP中SQL參數化的用法。

首先，我們可以使用PDO（PHP Data Objects）擴展來連接數據庫并執行SQL語句。 PDO是一種在PHP中用于訪問數據庫的輕量級的、統一的、面向對象的方式。 下面是一個簡單的示例，用來連接MySQL數據庫：

$dbh = new PDO('mysql:host=localhost;dbname=test', $user, $pass);

接下來就是例子，說下這個參數化方式的好處：假設我們需要查詢ID號為100的用戶的信息，我們可以使用如下方式：

$id = 100;
$stmt = $dbh->prepare("SELECT * FROM users WHERE id = :id");
$stmt->bindParam(":id", $id);
$stmt->execute();

在這段代碼示例中，我們使用了: id占位符，這里的id是一個變量，表示我們需要查詢的用戶ID號。在使用bindParam()方法時，PDO會自動過濾和轉義傳入的數據，并將其綁定到SQL語句中的占位符上。這樣，即使數據中存在特殊字符，也不會對數據庫進行攻擊。

除了bindParam()方法以外，PDO還提供了bindValue()方法，用于綁定一個值到一個SQL語句中的占位符上。與bindParam()方法相比，bindValue()方法的參數是一個普通的值，而不是一個變量。下面是一個使用bindValue()方法的示例：

$stmt = $dbh->prepare("SELECT * FROM users WHERE name = :username");
$stmt->bindValue(":username", "testuser");
$stmt->execute();

在這個示例中，我們使用 ": username"占位符來查詢用戶名為“testuser”的用戶，然后使用bindValue()方法將該用戶名綁定到占位符上。

當我們需要執行多次相同的SQL查詢時，可以通過使用PDOStatement::bindParam()來提高性能，PDOStatement::bindParam()方法將占位符和變量綁定在一起，這樣就可以使用一條SQL語句來處理多種不同的參數了。

另外，PDO還提供了PDOStatement::execute()方法，該方法用于執行SQL語句。當我們使用bindParam()或bindValue()方法后，只有執行execute()方法時，對應的SQL語句才會執行。

綜上所述，參數化SQL查詢是PHP中避免SQL注入攻擊的常見方法之一。使用PDO擴展，我們可以輕松地實現參數化查詢，并保護我們的應用程序免受攻擊。在實際開發過程中，為了確保應用程序的安全性，我們應該始終使用這種方法來處理用戶輸入的數據。