PHP SQL 注入過濾器可以幫助網站防止 SQL 注入攻擊，保障網站的安全性。簡單來說，SQL 注入攻擊就是在用戶輸入數(shù)據(jù)的時候，攻擊者添加一些惡意代碼，從而獲取網站的敏感信息，比如用戶密碼、信用卡信息等等。因此，在開發(fā)網站的時候，必須采用一些方法，對輸入的數(shù)據(jù)進行過濾，以避免 SQL 注入攻擊的發(fā)生。
在 PHP 中，常用的 SQL 注入過濾器包括 addslashes() 函數(shù)和 mysql_real_escape_string() 函數(shù)。
addslashes() 函數(shù)可以將用戶輸入的字符串中的單引號、雙引號、反斜杠和 NULL 字符進行轉義，從而防止 SQL 注入攻擊的發(fā)生。例如，用戶在表單中輸入了以下字符串：
It's a beautiful day
那么，如果沒有采用 addslashes() 函數(shù)進行轉義，這個字符串將直接傳遞給 SQL 語句，從而造成語法錯誤。而 addslashes() 函數(shù)會將字符串轉義為以下形式：
It\'s a beautiful day
這樣，SQL 語句就不會受到單引號的干擾。
代碼示例：

$str = "It's a beautiful day";
$new_str = addslashes($str);
echo $new_str; // 輸出：It\'s a beautiful day

另一個常用的 SQL 注入過濾器是 mysql_real_escape_string() 函數(shù)。這個函數(shù)可以將用戶輸入的字符串中的特殊字符進行轉義，從而防止 SQL 注入攻擊。
代碼示例：

$str = "It's a beautiful day";
$new_str = mysql_real_escape_string($str);
echo $new_str; // 輸出：It\'s a beautiful day

需要注意的是，mysql_real_escape_string() 函數(shù)要求連接到 MySQL 數(shù)據(jù)庫才能使用。因此，在使用這個函數(shù)時，必須打開數(shù)據(jù)庫連接。此外，使用 mysql_real_escape_string() 函數(shù)也需要保證輸入的數(shù)據(jù)是字符串類型。
除了使用 addslashes() 函數(shù)和 mysql_real_escape_string() 函數(shù)進行 SQL 注入過濾，還可以采用預處理語句進行過濾。預處理語句是指在執(zhí)行 SQL 語句之前，將查詢語句和參數(shù)進行分離，并且將參數(shù)進行轉義，然后再執(zhí)行查詢語句。
代碼示例：

$stmt = $pdo->prepare("SELECT * FROM user WHERE username = ?");
$stmt->bindParam(1, $username);
$stmt->execute();

在這個例子中，$pdo 表示打開的 PDO 數(shù)據(jù)庫連接，$username 表示用戶輸入的字符串。預處理語句中的 ? 表示占位符，使用 bindParam() 函數(shù)將實際的參數(shù)與占位符綁定起來。
總之，無論是使用 addslashes() 函數(shù)、mysql_real_escape_string() 函數(shù)，還是使用預處理語句，都可以幫助網站防止 SQL 注入攻擊的發(fā)生。在開發(fā)網站時，一定要注意對輸入的數(shù)據(jù)進行過濾，提高網站的安全性。