Java SQL注入是一種常見的網絡攻擊方式，攻擊者通過在應用程序的輸入字段中插入惡意的SQL代碼，以此來影響后端數據庫的行為。通過遵循一些編碼規范和使用預編譯語句（PreparedStatement），可以大大減少Java SQL注入的風險。

以下是一些減少Java SQL注入風險的編碼規范：

1. 使用預編譯語句（PreparedStatement）：預編譯語句在編譯時就已經確定了SQL語句的結構，參數值不會影響到SQL語句的結構，從而有效防止SQL注入。

String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement pstmt = connection.prepareStatement(sql);
pstmt.setString(1, username);
pstmt.setString(2, password);
ResultSet rs = pstmt.executeQuery();

2. 參數化查詢：始終使用參數化查詢，而不是字符串拼接的方式來構建SQL語句。

// 錯誤的示例
String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";
// 正確的示例
String sql = "SELECT * FROM users WHERE username = ? AND password = ?";

3. 驗證和清理輸入：在將用戶輸入用于SQL查詢之前，始終驗證和清理輸入。例如，可以使用正則表達式來檢查輸入是否符合預期的格式。
4. 最小權限原則：應用程序的數據庫賬號只應擁有執行其功能所需的最小權限。例如，如果應用程序只需要從數據庫中讀取數據，那么它就不應該擁有寫入數據的權限。
5. 錯誤處理：不要在代碼中直接打印或記錄異常信息，因為這可能會向攻擊者泄露有關數據庫結構和配置的敏感信息。應該使用日志記錄工具，并配置適當的日志級別和格式。
6. 更新和打補丁：定期更新Java、數據庫管理系統和其他相關組件，以確保已應用所有安全補丁。
7. 使用Web應用防火墻（WAF）：在應用程序部署到生產環境之前，可以考慮使用Web應用防火墻來進一步減少SQL注入和其他網絡攻擊的風險。
8. 代碼審查和安全測試：定期進行代碼審查和安全測試，以發現和修復潛在的安全漏洞。

遵循這些編碼規范可以顯著降低Java應用程序面臨SQL注入攻擊的風險。