在ThinkPHP框架中，防止SQL注入的方法主要有以下几种：

使用预处理语句（Prepared Statements）和参数绑定（Parameter Binding）：ThinkPHP支持PDO和MySQLi两种数据库扩展，它们都支持预处理语句和参数绑定功能。使用这些功能可以有效防止SQL注入攻击。

例如，使用PDO：

$stmt = $pdo->prepare("INSERT INTO users (username, password) VALUES (?, ?)");$stmt->bindParam(1, $username);$stmt->bindParam(2, $password);$username = 'user';$password = 'password';$stmt->execute();

使用MySQLi：

$stmt = $mysqli->prepare("INSERT INTO users (username, password) VALUES (?, ?)");$stmt->bind_param("ss", $username, $password);$username = 'user';$password = 'password';$stmt->execute();

使用ORM（对象关系映射）功能：ThinkPHP提供了ORM功能，可以方便地将数据库表映射为对应的模型类。在模型类中，可以使用自动验证和过滤功能来清理用户输入的数据，从而防止SQL注入。

例如：

class User extends Model {protected $validate = [['username', 'require|unique:users'],['password', 'require|min:6'],];}$user = new User();$user->username = 'user';$user->password = 'password';$user->save();

使用内置的验证器（Validator）：ThinkPHP提供了内置的验证器，可以对用户输入的数据进行验证和过滤。通过定义验证规则，可以确保用户输入的数据符合应用的要求，从而减少SQL注入的风险。

例如：

$data = ['username' => 'user','password' => 'password',];$validate = Validate::make($data);if (!$validate->check()) {// 验证失败，输出错误信息$this->error($validate->getError());}

避免使用动态SQL：尽量避免在代码中直接拼接SQL语句，特别是避免使用用户输入的数据来构造SQL语句的WHERE子句、ORDER BY子句等。如果必须使用动态SQL，请使用预处理语句和参数绑定来防止SQL注入。

总之，在ThinkPHP中防止SQL注入的关键是使用安全的编程实践，如预处理语句、参数绑定、ORM功能和验证器等。同时，保持代码的更新，及时修复已知的安全漏洞，也是保护应用安全的重要措施。