PHP SQL注入攻击是目前互联网上最常见的攻击方式之一。其攻击原理是通过用户输入特定的SQL语句，来欺骗服务器并成功执行恶意代码。攻击者可以利用这种漏洞，获取到网站的敏感信息，或在网站上进行任意的恶意操作。

下面我们通过举例，详细了解一下SQL注入攻击是如何进行的。

$sql = "SELECT * FROM users WHERE username = '".$_POST['username']."' AND password = '".$_POST['password']."'";
$result = mysqli_query($conn, $sql);

上面的代码是一个简单的用户认证，用户输入用户名和密码，如果在数据库中匹配到对应的数据，就视为认证通过，否则认证失败。

然而，如果攻击者在用户名或密码中输入特定的字符，如单引号，就会导致该SQL查询语句发生变化，使其不再是我们原本期望的查询语句。

SELECT * FROM users WHERE username = '' OR 1=1 -- ' AND password = ''

当攻击者在用户名或密码中插入单引号时，查询语句将被重新构建，其中的单引号与后面的部分将被视为注释。因此恶意的语句' OR 1=1 -- '将被执行，查询到的数据将是整张表中的所有用户信息，导致恶意操作的成功实现。

那么我们该如何避免这种攻击呢？首先最重要的是避免动态拼接SQL语句，而是尽可能使用参数化查询。具体实现方式如下：

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute(array($_POST['username'], $_POST['password']));
$result = $stmt->fetchAll();

上面的代码使用PDO的预处理语句，将用户输入的值作为参数传入查询语句中，从而避免了直接拼接SQL语句的问题。

除此之外，我们还可以对用户输入的值进行过滤和转义。常用的转义函数包括mysqli_real_escape_string和PDO::quote函数，可以帮助过滤一些有害字符，使其不再对查询语句产生影响。

$username = mysqli_real_escape_string($conn, $_POST['username']);
$password = mysqli_real_escape_string($conn, $_POST['password']);
$sql = "SELECT * FROM users WHERE username = '".$username."' AND password = '".$password."'";
$result = mysqli_query($conn, $sql);

在一些场景下，我们还可以对用户的输入进行正则匹配，限制输入的特殊字符和长度，从而增强对SQL注入攻击的防范。

总的来说，SQL注入攻击是一种非常危险的攻击方式，可导致严重的数据泄漏和恶意操作。理解其原理和防范措施，对我们加强Web应用程序的安全性至关重要。