在CentOS上使用PHP防止SQL注入，可以采取以下几种方法：

使用预处理语句（Prepared Statements）：预处理语句是一种防止SQL注入的有效方法。它们可以将数据和SQL查询分开，从而避免恶意数据对查询结构的影响。在PHP中，可以使用PDO或MySQLi扩展来实现预处理语句。

例如，使用PDO：

$pdo = new PDO("mysql:host=localhost;dbname=mydb", "username", "password");$sql = "INSERT INTO users (username, password) VALUES (:username, :password)";$stmt = $pdo->prepare($sql);$stmt->bindParam(":username", $username);$stmt->bindParam(":password", $password);$username = "user1";$password = "pass1";$stmt->execute();

使用mysqli扩展的预处理语句：

$mysqli = new mysqli("localhost", "username", "password", "mydb");$sql = "INSERT INTO users (username, password) VALUES (?, ?)";$stmt = $mysqli->prepare($sql);$stmt->bind_param("ss", $username, $password);$username = "user1";$password = "pass1";$stmt->execute();

使用magic_quotes_gpc：

在php.ini文件中启用magic_quotes_gpc选项，它会自动为所有GET、POST和cookie数据添加反斜杠。这可以防止SQL注入，但请注意，这种方法已经被废弃，因为它可能导致其他问题。建议使用预处理语句代替。

对用户输入进行验证和转义：

在处理用户输入之前，对其进行验证和转义。可以使用PHP的内置函数，如htmlspecialchars()和strip_tags()，以及其他自定义验证函数来确保数据的安全性。

使用Web应用防火墙（WAF）：

部署一个Web应用防火墙，如ModSecurity，可以帮助检测和阻止SQL注入攻击。

总之，使用预处理语句是防止SQL注入的最佳方法。同时，确保对用户输入进行验证和转义，并考虑使用Web应用防火墙来增强安全性。