在PHP开发中，SQL注入攻击是一个非常常见的安全问题。当我们使用字符串拼接的方式将数据拼接到SQL语句中时，如果不对这些数据进行过滤和验证，就很容易被恶意攻击者利用注入攻击手段。所以，为了避免这种情况，我们需要使用SQL参数化的方式来处理数据。下面我们就来详细介绍一下PHP中SQL参数化的用法。

首先，我们可以使用PDO（PHP Data Objects）扩展来连接数据库并执行SQL语句。 PDO是一种在PHP中用于访问数据库的轻量级的、统一的、面向对象的方式。 下面是一个简单的示例，用来连接MySQL数据库：

$dbh = new PDO('mysql:host=localhost;dbname=test', $user, $pass);

接下来就是例子，说下这个参数化方式的好处：假设我们需要查询ID号为100的用户的信息，我们可以使用如下方式：

$id = 100;
$stmt = $dbh->prepare("SELECT * FROM users WHERE id = :id");
$stmt->bindParam(":id", $id);
$stmt->execute();

在这段代码示例中，我们使用了: id占位符，这里的id是一个变量，表示我们需要查询的用户ID号。在使用bindParam()方法时，PDO会自动过滤和转义传入的数据，并将其绑定到SQL语句中的占位符上。这样，即使数据中存在特殊字符，也不会对数据库进行攻击。

除了bindParam()方法以外，PDO还提供了bindValue()方法，用于绑定一个值到一个SQL语句中的占位符上。与bindParam()方法相比，bindValue()方法的参数是一个普通的值，而不是一个变量。下面是一个使用bindValue()方法的示例：

$stmt = $dbh->prepare("SELECT * FROM users WHERE name = :username");
$stmt->bindValue(":username", "testuser");
$stmt->execute();

在这个示例中，我们使用 ": username"占位符来查询用户名为“testuser”的用户，然后使用bindValue()方法将该用户名绑定到占位符上。

当我们需要执行多次相同的SQL查询时，可以通过使用PDOStatement::bindParam()来提高性能，PDOStatement::bindParam()方法将占位符和变量绑定在一起，这样就可以使用一条SQL语句来处理多种不同的参数了。

另外，PDO还提供了PDOStatement::execute()方法，该方法用于执行SQL语句。当我们使用bindParam()或bindValue()方法后，只有执行execute()方法时，对应的SQL语句才会执行。

综上所述，参数化SQL查询是PHP中避免SQL注入攻击的常见方法之一。使用PDO扩展，我们可以轻松地实现参数化查询，并保护我们的应用程序免受攻击。在实际开发过程中，为了确保应用程序的安全性，我们应该始终使用这种方法来处理用户输入的数据。