PHP中的PDO扩展如何使用预处理语句来防止SQL注入攻击？有哪些安全实践建议？

<?php
// 创建PDO实例连接数据库
$pdo = new PDO('mysql:host=localhost;dbname=example_db', 'username', 'password');
 
// 准备一个SQL语句
$sql = 'SELECT * FROM users WHERE username = :username AND password = :password';
 
// 预处理SQL语句
$stmt = $pdo->prepare($sql);
 
// 绑定参数到查询上
$username = 'user_input_username'; // 应该从用户输入或外部源获取
$password = 'user_input_password'; // 应该从用户输入或外部源获取
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
 
// 执行查询
$stmt->execute();
 
// 获取查询结果
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);
 
// 处理结果...
?>

在这个例子中，我们使用了PDO的预处理语句来安全地执行一个SQL查询。我们通过使用参数绑定(bindParam)来防止SQL注入攻击，因为用户的输入直接注入到SQL语句的参数中。这种方式使得PDO能够安全地处理用户输入，并使得数据库能够清晰区分代码和数据。