SQL注入是一種常見的攻擊方式，能夠直接對數據庫進行入侵并獲取敏感信息。為了預防SQL注入攻擊，我們可以采用不同的措施，其中一個比較有效的方法就是對SQL語句進行過濾。MySQL中的mysql_query函數提供了一種快速過濾SQL語句的方式。

$username = addslashes($_POST['username']);
$password = md5($_POST['password']);
$query = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
mysql_query($query);

在上述代碼中，我們將用戶輸入的數據使用addslashes函數進行轉義，從而避免惡意攻擊者在輸入中插入特殊字符，破壞Sql語句的結構。當然這樣的方法并不能確保100%的防注入，還需對輸入參數進行詳細檢查才能確保安全。

除了使用addslashes函數進行參數轉義外，還有一種更為嚴謹的方法可以使用，就是使用PDO（PHP Data Object）對象對SQL語句進行預處理。

$username = $_POST['username']；
$password = md5($_POST['password']);
$query = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$query->bindParam(1, $username);
$query->bindParam(2, $password);
$query->execute();

這段代碼利用PDO的預處理SQL語句機制，在未執行SQL語句的情況下，將參數和SQL語句分別綁定在一起，服務器進行編譯和優化，最終執行SQL查詢時將參數再次傳入，從而減少了SQL注入的可能性。