為了防止PHP輸出受到攻擊，您可以采取以下措施：

1. 驗證和過濾用戶輸入：始終驗證和過濾用戶提交的數據，確保它們符合預期的格式和類型。使用PHP內置的過濾函數，如filter_var()，來清理用戶輸入。

$user_input = $_POST['user_input'];
$filtered_input = filter_var($user_input, FILTER_SANITIZE_STRING);

2. 使用預編譯語句和參數化查詢：當從數據庫獲取數據時，使用預編譯語句和參數化查詢可以防止SQL注入攻擊。使用PHP的PDO或MySQLi擴展來實現這一目標。

// 使用PDO
$pdo = new PDO('mysql:host=localhost;dbname=mydb', 'username', 'password');
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email');
$stmt->bindParam(':email', $email);
$email = $_POST['email'];
$stmt->execute();

// 使用MySQLi
$mysqli = new mysqli('localhost', 'username', 'password', 'mydb');
$stmt = $mysqli->prepare('SELECT * FROM users WHERE email = ?');
$stmt->bind_param('s', $email);
$email = $_POST['email'];
$stmt->execute();

3. 使用HTML實體編碼：在輸出用戶提供的數據之前，使用HTML實體編碼可以防止跨站腳本（XSS）攻擊。使用PHP的htmlspecialchars()函數進行編碼。

$user_input = $_POST['user_input'];
$encoded_input = htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');
echo $encoded_input;

4. 設置正確的HTTP頭：設置合適的HTTP頭可以增強安全性。例如，設置內容安全策略（CSP）可以防止跨站腳本（XSS）攻擊。

header('Content-Security-Policy: default-src "self"; script-src "self" https://trustedscripts.example.com; style-src "self" https://trustedstyles.example.com;');

5. 使用安全的會話管理：確保使用安全的會話管理實踐，例如設置安全的會話ID，使用HttpOnly和Secure標志，以及定期更新會話cookie。

session_start();
session_regenerate_id(true); // 強制更新會話ID
setcookie('PHPSESSID', session_id(), [
    'expires' => time() + 3600, // 設置cookie過期時間
    'path' => '/', // 設置cookie路徑
    'domain' => $_SERVER['HTTP_HOST'], // 設置cookie域名
    'secure' => true, // 僅在HTTPS連接中傳輸cookie
    'httponly' => true, // 禁止客戶端JavaScript訪問cookie
]);

6. 保持軟件和依賴項更新：定期更新PHP、數據庫管理系統和其他軟件依賴項，以確保已應用最新的安全補丁。

遵循這些最佳實踐可以幫助您防止PHP輸出受到攻擊。