是使用参数化查询或预编译语句。在PHP中，防止SQL注入的最佳做法是使用预编译语句（Prepared Statements）或参数化查询。以下是一些建议来防止SQL注入：

使用预编译语句：使用预编译语句可以将查询参数与查询语句分开处理，确保输入的数据被正确地转义和引用。预编译语句使用占位符（placeholder）来代替动态插入的参数，并在执行查询之前与参数绑定。在PHP中，可以使用MySQLi或PDO扩展来执行预编译语句。

示例（使用MySQLi扩展）：

$mysqli = new mysqli("localhost", "username", "password", "database");  
  
$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ? AND password = ?");  
$stmt->bind_param("ss", $username, $password);  
  
$username = "user";  
$password = "password";  
$stmt->execute();  
  
$result = $stmt->get_result();  
while ($row = $result->fetch_assoc()) {  
    // 处理查询结果  
}  
  
$stmt->close();

示例（使用PDO扩展）：

$dsn = "mysql:host=localhost;dbname=database";  
$options = array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION);  
$pdo = new PDO($dsn, "username", "password", $options);  
  
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");  
$stmt->bindParam(':username', $username);  
$stmt->bindParam(':password', $password);  
  
$username = "user";  
$password = "password";  
$stmt->execute();  
  
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);  
foreach ($result as $row) {  
    // 处理查询结果  
}

使用参数化查询：参数化查询与预编译语句类似，它们都将输入的数据与查询语句分开处理。参数化查询使用命名参数或问号占位符来代替动态插入的参数，并在执行查询之前将参数值与查询语句绑定。这样可以确保输入的数据被正确地转义和引用。在PHP中，可以使用MySQLi或PDO扩展来执行参数化查询。

示例（使用MySQLi扩展）：

$mysqli = new mysqli("localhost", "username", "password", "database");  
  
$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ? AND password = ?");  
$stmt->bind_param("ss", $username, $password);  
$username = "user";  
$password = "password";  
$stmt->execute();  
$result = $stmt->get_result();  
while ($row = $result->fetch_assoc()) {  
    // 处理查询结果  
}  
$stmt->close();