java防止sql注入的方式有哪些

Java防止SQL注入的方式有以下幾種：

1. 使用參數化查詢（Prepared Statement）：使用PreparedStatement接口來執行SQL語句，通過將參數與SQL語句分開，使得SQL注入攻擊無法成功。

示例代碼：

String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement statement = connection.prepareStatement(sql);
statement.setString(1, username);
statement.setString(2, password);
ResultSet resultSet = statement.executeQuery();

2. 使用存儲過程（Stored Procedure）：將SQL語句封裝在存儲過程中，使用存儲過程來執行SQL語句，這樣可以避免直接執行SQL語句導致的注入風險。

示例代碼：

String sql = "{CALL authenticateUser(?, ?)}";
CallableStatement statement = connection.prepareCall(sql);
statement.setString(1, username);
statement.setString(2, password);
ResultSet resultSet = statement.executeQuery();

3. 輸入驗證和過濾：對輸入的數據進行驗證和過濾，確保只有合法的數據才能進入數據庫，例如使用正則表達式對輸入數據進行驗證。

示例代碼：

String username = request.getParameter("username");
String password = request.getParameter("password");
// 驗證和過濾輸入數據
if (username.matches("[a-zA-Z0-9]+")) {
// 執行SQL查詢
String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";
Statement statement = connection.createStatement();
ResultSet resultSet = statement.executeQuery(sql);
}

4. 使用框架或ORM工具：使用流行的Java框架（如Spring、Hibernate等）或ORM工具（如MyBatis、JPA等），這些框架和工具通常會自動對SQL語句進行參數化處理，避免了手動處理的繁瑣工作。

總體來說，最好的方式是使用參數化查詢，因為它能夠最大程度地防止SQL注入攻擊。而其他方式則是在某些場景下的替代方案。