为了防止代码注入攻击，可以使用参数绑定技术和过滤用户输入的方法。以下是一些示例：

1. 使用PDO执行SQL语句时，使用参数绑定替代字符串拼接的方式。例如：

$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username');
$stmt->bindParam(':username', $username);
$stmt->execute();

2. 对用户的输入进行过滤，可以使用PHP内置函数htmlspecialchars()，来转义HTML实体。例如：

$username = htmlspecialchars($_POST['username'], ENT_QUOTES, 'UTF-8');

3. 尽量不使用eval()和assert()等函数，因为它们会把字符串作为PHP代码执行，容易受到代码注入攻击。

4. 强制转换数据类型，例如使用(int)或(string)将用户输入的数据类型转换成特定类型，来确保数据安全。

5. 设置PHP.ini文件中的magic_quotes_gpc为Off，避免自动对用户输入的字符串添加反斜杠“\”，这可能导致SQL注入。

这些措施可以有效的减少代码注入攻击。