為了防止SQL注入攻擊，您可以采取以下Java代碼編寫方法：

1. 使用預編譯的語句和參數化查詢。

String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement statement = connection.prepareStatement(sql);
statement.setString(1, username);
statement.setString(2, password);
ResultSet resultSet = statement.executeQuery();

在上面的示例中，我們使用了PreparedStatement類來創建一個預編譯的語句。通過將參數作為占位符（例如?）傳遞給預編譯的語句，并使用setString()方法設置參數的值，可以避免直接將輸入數據直接拼接到SQL語句中。

2. 對用戶輸入進行驗證和過濾。

String username = request.getParameter("username");
String password = request.getParameter("password");
// 驗證和過濾輸入
if (!isValidInput(username) || !isValidInput(password)) {
    // 處理錯誤情況
}
// 進行數據庫操作

在上述示例中，我們對從用戶輸入獲取的username和password進行了驗證和過濾。您可以使用正則表達式或其他適當的方法來驗證輸入，并移除或轉義可能包含惡意字符的內容。

3. 使用ORM框架。

ORM（對象關系映射）框架如Hibernate或MyBatis可以自動處理SQL注入問題。這些框架會自動將Java對象與數據庫表進行映射，并使用參數化查詢來執行數據庫操作，從而保護您的應用程序免受SQL注入攻擊。

String sql = "SELECT * FROM users WHERE username = :username AND password = :password";
Query query = session.createNativeQuery(sql);
query.setParameter("username", username);
query.setParameter("password", password);
List<User> users = query.getResultList();

上述示例中，我們使用Hibernate的查詢語言（HQL）來執行查詢，并通過命名參數:username和:password設置參數的值。這樣可以確保輸入被正確地轉義和處理，從而避免SQL注入攻擊。

請注意，以上措施可以幫助減輕SQL注入風險，但仍建議采取其他安全措施，如輸入驗證、訪問控制和安全編碼實踐等，以確保應用程序的安全性。