使用PHP函数来过滤用户输入，防止SQL注入攻击。

SQL注入攻击是一种常见的网络攻击方式，通过注入恶意的SQL语句来实现非授权的访问数据库的目的。这种攻击方式可以导致非常严重的安全风险，例如：窃取个人信息、篡改数据、破坏数据等。因此，保护数据库免受SQL注入攻击是至关重要的事情。

为了防止SQL注入攻击，我们可以使用PHP函数来过滤用户输入。下面就介绍一些常用的PHP函数。

1. mysql_real_escape_string()函数

mysql_real_escape_string()函数用于转义SQL语句中的特殊字符，例如单引号、双引号、反斜杠等。这样，当用户输入包含特殊字符的数据时，我们可以将这些特殊字符转义，避免被识别为SQL语句的一部分，从而保护数据库免受SQL注入攻击。以下是mysql_real_escape_string()函数的语法：

$escaped_string = mysql_real_escape_string($unescaped_string, $connection);

其中，$unescaped_string是需要转义的字符串，$connection是数据库连接参数。以下是一个示例：

$username = mysql_real_escape_string($_POST['username']);
$password = mysql_real_escape_string($_POST['password']);

$query = "SELECT * FROM users WHERE username='$username' AND password='$password'";
$result = mysql_query($query);

在以上代码中，我们使用了mysql_real_escape_string()函数来转义用户名和密码中的特殊字符。这样，即使用户输入包含特殊字符的数据，也不会对SQL语句造成影响。

需要注意的是，mysql_real_escape_string()函数仅能处理纯文本，不适用于二进制数据。如果需要处理二进制数据，可以使用mysqli_real_escape_string()函数。

2. intval()函数

intval()函数用于将字符串转换为整数。通过将用户输入转换为整数，我们可以避免用户输入包含SQL关键字的数据，从而防止SQL注入攻击。以下是intval()函数的语法：

$int_value = intval($str_value);

其中，$str_value是需要转换为整数的字符串。以下是一个示例：

$id = intval($_GET['id']);

$query = "SELECT * FROM users WHERE id=$id";
$result = mysql_query($query);

在以上代码中，我们使用intval()函数将用户输入的id值转换为整数，从而避免了用户输入包含SQL关键字的数据。

需要注意的是，intval()函数只能处理整数类型的数据，对于浮点数类型的数据，需要使用floatval()函数。

3. strip_tags()函数

strip_tags()函数用于删除字符串中的HTML和PHP标记。通过删除用户输入中的标记，我们可以防止用户输入包含恶意的标记，从而避免SQL注入攻击和XSS攻击等。以下是strip_tags()函数的语法：

$stripped_string = strip_tags($string);

其中，$string是需要删除标记的字符串。以下是一个示例：

$name = strip_tags($_POST['name']);

$query = "INSERT INTO users (name) VALUES ('$name')";
$result = mysql_query($query);

在以上代码中，我们使用strip_tags()函数删除了用户输入中的标记，从而保护了数据库免受XSS攻击和SQL注入攻击。

需要注意的是，strip_tags()函数只能删除标记，而不能过滤掉恶意的标记。如果需要进一步保护数据库，可以使用htmlspecialchars()函数来转义HTML字符。

综上所述，使用PHP函数来过滤用户输入是防止SQL注入攻击的一种有效方法。需要注意的是，不同的函数适用于不同类型的数据，需要结合实际情况进行选择。同时，为了保护数据库的安全性，应该采取尽可能多的措施来防止各种类型的攻击。