首先SQL注入是一种常见的安全漏洞，黑客可以通过注入恶意代码来攻击数据库和应用程序。以下是一些防止SQL注入的基本措施：

数据库操作层面

1. 使用参数化查询：参数化查询可以防止SQL注入，因为参数化查询会对用户输入的数据进行过滤和转义，从而保护查询语句免受攻击。
2. 避免动态拼接SQL语句：动态拼接SQL语句是SQL注入的一个主要原因。为了防止SQL注入，尽量避免动态拼接SQL语句，而是使用参数化查询。
3. 对用户输入的数据进行验证和过滤：在接收到用户输入数据时，进行数据验证和过滤可以有效地防止SQL注入。例如，检查用户输入是否包含特殊字符或SQL关键字，并且对输入进行转义。
4. 不要使用管理员权限运行应用程序：为了防止SQL注入，不要使用管理员权限运行应用程序。应该为应用程序分配最小的权限，以避免黑客利用注入漏洞获得管理员权限。
5. 定期更新应用程序和数据库：及时更新应用程序和数据库可以修补已知的安全漏洞，并增强安全性。

---

Java代码层面

防止SQL注入攻击的方法是使用参数化查询，也就是使用预编译语句（Prepared Statement）或者存储过程（Stored Procedure）来处理 SQL 查询语句。
使用预编译语句的好处是，它会将 SQL 查询语句和参数分开，从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时，预编译语句可以有效地缓存 SQL 查询语句，提高查询性能。

下面是使用预编译语句来防止 SQL 注入攻击的示例代码：

String sql = "SELECT * FROM users WHERE username = ?";
PreparedStatement pstmt = conn.prepareStatement(sql);
pstmt.setString(1, username);
ResultSet rs = pstmt.executeQuery();

在这个例子中，我们使用了占位符 ? 来表示参数的位置，然后使用 setString() 方法设置占位符的值。这样可以保证输入的值不会被解释为 SQL 代码，从而避免了 SQL 注入攻击的风险。

---

MyBatis框架层

使用MyBatis ORM 框架，它提供了多种方式来防止 SQL 注入攻击。下面是一些常见的方法：

1、使用参数化查询

• 在 MyBatis 中，使用参数化查询可以避免 SQL 注入攻击。具体实现方式是在 Mapper XML 文件中使用占位符${}或者#{}来代替查询条件中的变量，然后将变量传入到查询语句中。例如：
  【注意】：在代码中使用#{}占位符，不要使用${}会导致SQL注入风险，${}为字符串替换，即 sql 拼接。

<select id="getUserByName" resultType="User">SELECT * FROM users WHERE username = #{name}
</select>

在上面这个示例中，使用了#{name}占位符来表示查询条件中的变量 name，然后使用getUserByName方法来执行查询。

2、使用参数类型转换器

• MyBatis 中的参数类型转换器可以将参数值从 Java 类型转换为数据库类型。这个功能可以防止一些简单的 SQL 注入攻击。例如，如果将一个字符串参数转换为整数类型，那么字符串中的 SQL 代码就会被转义掉。

<select id="getUserById" resultType="User">SELECT * FROM users WHERE id = #{id, jdbcType=INTEGER}
</select>

在什么这个示例中，使用了jdbcType属性来指定参数类型为整数类型，这样可以防止恶意用户通过输入字符串类型的参数来进行 SQL 注入攻击。

3、使用动态 SQL

• MyBatis 中的动态 SQL 可以根据不同的查询条件生成不同的 SQL 查询语句。这个功能可以避免一些简单的 SQL 注入攻击。例如，如果查询条件是一个空值，那么就不会执行任何查询语句，从而避免了 SQL 注入攻击的风险。

<select id="getUser" resultType="User">SELECT * FROM users <where><if test="name != null">AND username = #{name}</if><if test="id != null">AND id = #{id}</if></where>
</select>

在上面这个示例中，使用了 标签来判断查询条件是否为空，如果不为空就生成对应的 SQL 查询语句。这样可以避免恶意用户通过输入恶意的 SQL 代码来进行 SQL 注入攻击。