Для защиты базы данных от SQL-инъекций в Java обычно используют подготовленные выражения (PreparedStatement). Они позволяют отделить код SQL от данных, что предотвращает внедрение вредоносных SQL-команд.

Пример использования PreparedStatement:

String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement pstmt = connection.prepareStatement(sql);
pstmt.setString(1, username);
pstmt.setString(2, password);
ResultSet rs = pstmt.executeQuery();

Другие методы защиты:

Валидация и фильтрация входных данных.
Использование ORM-фреймворков, которые автоматически формируют безопасные запросы.
Минимизация прав доступа к базе данных.

Но основной и наиболее эффективный способ — это использование подготовленных выражений.

Каким образом можно защитить базу данных от SQL инъекций?