使用预编译语句：不要直接拼接SQL语句，而是使用预编译语句，如PreparedStatement，可以将参数传递给SQL语句，而不是直接拼接到SQL语句中。

使用参数化查询：使用参数化查询可以有效防止SQL注入攻击。确保用户输入的数据不会被当作SQL语句的一部分处理。

输入验证和过滤：对用户输入的数据进行验证和过滤，只接受符合特定格式的数据，如数字、字母等。

使用安全的框架：使用安全的框架如Spring JDBC Template可以帮助防止SQL注入攻击。

限制数据库用户权限：将数据库用户的权限限制为最小化，只允许其执行必要的操作，避免对敏感数据的直接访问。