要防止SQL注入，可以使用PHP的預處理語句（Prepared Statements）和參數綁定功能。這樣，即使用戶提供的數據包含惡意代碼，也不會影響到查詢的結構。以下是一個使用PHP和MySQLi擴展實現預處理語句和參數綁定的示例：

<?php
// 數據庫連接信息
$servername = "localhost";
$username = "your_username";
$password = "your_password";
$dbname = "your_db";

// 創建連接
$conn = new mysqli($servername, $username, $password, $dbname);

// 檢查連接
if ($conn->connect_error) {
    die("連接失敗: " . $conn->connect_error);
}

// 需要插入的數據
$name = "John Doe";
$email = "john.doe@example.com";

// 使用預處理語句和參數綁定來防止SQL注入
$stmt = $conn->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->bind_param("ss", $name, $email);

// 執行預處理語句
if ($stmt->execute()) {
    echo "新記錄插入成功";
} else {
    echo "Error: " . $stmt->error;
}

// 關閉連接
$stmt->close();
$conn->close();
?>

在這個示例中，我們使用了mysqli擴展的預處理語句功能。prepare()方法用于創建預處理語句，bind_param()方法用于綁定參數。參數以字符串形式傳遞，其中第一個字符表示參數類型（如"s"表示字符串），后續字符表示參數值。

這種方法可以有效防止SQL注入，因為預處理語句在編譯時已經確定了查詢結構，而參數值不會影響到查詢結構。即使用戶提供的數據包含惡意代碼，也不會影響到查詢的執行。