java防止sql注入的方式有哪些

Java防止SQL注入的方式有以下几种：

使用参数化查询（Prepared Statement）：使用PreparedStatement接口来执行SQL语句，通过将参数与SQL语句分开，使得SQL注入攻击无法成功。

示例代码：

String sql = "SELECT * FROM users WHERE username = ? AND password = ?";PreparedStatement statement = connection.prepareStatement(sql);statement.setString(1, username);statement.setString(2, password);ResultSet resultSet = statement.executeQuery();

使用存储过程（Stored Procedure）：将SQL语句封装在存储过程中，使用存储过程来执行SQL语句，这样可以避免直接执行SQL语句导致的注入风险。

示例代码：

String sql = "{CALL authenticateUser(?, ?)}";CallableStatement statement = connection.prepareCall(sql);statement.setString(1, username);statement.setString(2, password);ResultSet resultSet = statement.executeQuery();

输入验证和过滤：对输入的数据进行验证和过滤，确保只有合法的数据才能进入数据库，例如使用正则表达式对输入数据进行验证。

示例代码：

String username = request.getParameter("username");String password = request.getParameter("password");// 验证和过滤输入数据if (username.matches("[a-zA-Z0-9]+")) {// 执行SQL查询String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";Statement statement = connection.createStatement();ResultSet resultSet = statement.executeQuery(sql);}

使用框架或ORM工具：使用流行的Java框架（如Spring、Hibernate等）或ORM工具（如MyBatis、JPA等），这些框架和工具通常会自动对SQL语句进行参数化处理，避免了手动处理的繁琐工作。

总体来说，最好的方式是使用参数化查询，因为它能够最大程度地防止SQL注入攻击。而其他方式则是在某些场景下的替代方案。