为了避免SQL注入，我们可以使用预处理语句来执行MySQL查询。在PHP中，我们使用mysqli扩展库来连接MySQL数据库并执行预处理查询。

下面是一个使用mysqli预处理语句的示例：

```php

<?php

// 连接到数据库

$mysqli = new mysqli("localhost", "username", "password", "database");

// 检查连接是否成功

if ($mysqli->connect_errno) {

die("连接数据库失败: " . $mysqli->connect_error);

}

// 创建预处理查询语句

$query = "SELECT id, name FROM users WHERE username = ?";

// 准备预处理查询语句

$stmt = $mysqli->prepare($query);

// 检查预处理是否成功

if (!$stmt) {

die("预处理查询失败: " . $mysqli->error);

}

// 绑定参数

$username = "john";

$stmt->bind_param("s", $username);

// 执行查询语句

$stmt->execute();

// 绑定结果变量

$stmt->bind_result($id, $name);

// 循环遍历结果集

while ($stmt->fetch()) {

echo "ID: " . $id . ", 名字: " . $name . "<br>";

}

// 关闭结果集和连接

$stmt->close();

$mysqli->close();

?>

在上面的示例中，我们首先使用mysqli类连接到数据库。然后，我们创建一个包含占位符的预处理查询语句。接下来，我们准备预处理查询语句，并检查准备是否成功。然后，我们绑定参数并执行查询语句。最后，我们绑定结果变量，并循环遍历结果集。

使用预处理语句可以有效地防止SQL注入攻击，因为参数是以安全的方式绑定到查询语句中，而不是直接插入到查询字符串中。

请注意，上面的示例仅供参考，你需要根据自己的数据库表结构和查询需求进行相应地修改。此外，为了提高代码的健壮性和安全性，建议进行错误处理、输入验证和适当的过滤。