PHP PDO注入是Web开发中一个常见的安全问题。当用户从前端向数据库提交请求时，PHP的PDO库可以帮助我们更加安全地处理输入数据。然而，如果不小心使用不当，PDO库也会存在一些问题。

最常见的注入攻击是通过参数化查询时忘记对输入参数进行绑定而导致的。下面是一个实际漏洞的代码示例：

$stmt = $dbh->prepare("SELECT * FROM users WHERE username = '" . $_GET['username'] . "'");
$stmt->execute();
$result = $stmt->fetch(PDO::FETCH_ASSOC);

在上面的代码中，用户可以通过URL参数提交“username”值进入查询语句。如果攻击者将“username”参数设置为合法的用户名后附加字符串注入攻击，就可以执行任意SQL查询语句，如：

' or '1'='1

相当于把查询改为了“SELECT * FROM users WHERE username = '' or '1'='1'”，这样就可以通过这条SQL语句绕过用户认证，窃取用户信息甚至是管理员权限。

PDO提供了命名参数和位置参数两种绑定方式。使用命名参数时，在SQL查询语句中通过“:参数名”指定参数，例如：

$stmt = $dbh->prepare("SELECT * FROM users WHERE username = :username");
$stmt->bindValue(':username', $_GET['username']);
$stmt->execute();
$result = $stmt->fetch(PDO::FETCH_ASSOC);

这样就更加安全，因为任何需要输入的值都会被自动转义和限制为合法的字符集。使用位置参数时，则需要在SQL查询语句中用“?”占位符表示要绑定的参数：

$stmt = $dbh->prepare("SELECT * FROM users WHERE username = ?");
$stmt->bindParam(1, $_GET['username']);
$stmt->execute();
$result = $stmt->fetch(PDO::FETCH_ASSOC);

无论是使用命名参数还是位置参数，都能保证查询中的任何输入值都会被正确转义，从而避免了SQL注入漏洞。

除了使用参数化查询，在PHP代码中还有其他的PDO安全风险需要特别注意。例如，不要将输入信息在动态字符串中拼接起来，以防输入值包含恶意字符：

$column = $_GET['column'];
$stmt = $dbh->query('SELECT * FROM my_table ORDER BY ' . $column);
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);

如果该注入漏洞被利用，攻击者可以对“column”参数进行变量控制，从而可以在“ORDER BY”语句中执行语句注入攻击。

为了防止这种攻击，应该使用PDO中提供的quote()和bindParam()函数，或者使用预定义常量，以确保值被正确转义和限制字符集合。

最后，在开发过程中，为尽可能避免注入攻击，还要明确输入验证和过滤策略。虽然PDO提供了一些基本的安全措施，但它也不能保证100%的安全性。安全性可以类比防火墙和锁屏密码，而应在整个应用程序生命周期中保持严密的关注。