要避免SQL注入，您可以使用以下方法：

使用预编译语句（PreparedStatement）：预编译语句是一种将参数与SQL查询分开的方法。这样，即使用户尝试插入恶意代码，也只会被当作普通字符串处理。示例：

String query = "SELECT * FROM users WHERE username = ? AND password = ?";PreparedStatement preparedStatement = connection.prepareStatement(query);preparedStatement.setString(1, username);preparedStatement.setString(2, password);ResultSet resultSet = preparedStatement.executeQuery();

使用ORM（对象关系映射）工具：ORM工具可以将数据库表映射到编程语言中的对象，从而自动处理SQL查询的参数。这样可以减少手动编写SQL查询的需要，降低SQL注入的风险。常见的ORM工具有Hibernate、MyBatis等。

输入验证：对用户输入的数据进行验证，确保它们符合预期的格式和类型。例如，如果期望用户名只包含字母和数字，可以使用正则表达式进行验证。

使用最小权限原则：为数据库连接分配尽可能低的权限，这样即使攻击者成功执行SQL注入，也只能访问有限的数据库资源。例如，如果应用程序只需要从数据库中读取数据，不要授予写入或删除权限。

更新和打补丁：定期更新数据库管理系统（DBMS）和相关的库，以确保已应用最新的安全补丁。

错误处理：不要在应用程序中显示详细的数据库错误信息，因为这可能会泄露有关数据库结构和查询的有用信息。使用自定义错误消息来处理异常，并向用户显示友好的提示信息。