简述至少两种防止SQL注入漏洞的常用方法。

### 防止SQL注入的有效方法及实现方式

#### 使用预处理语句 (PreparedStatement)

在Java开发中，使用`PreparedStatement`可以有效地防止SQL注入。这种方式通过预先编译SQL语句并绑定参数的方式执行查询，从而避免了恶意输入被解释为SQL命令的一部分。

String query = "SELECT * FROM users WHERE username = ? AND password = ?";
try {
    PreparedStatement pstmt = connection.prepareStatement(query);
    pstmt.setString(1, userInputUsername);
    pstmt.setString(2, userInputPassword);
    ResultSet rs = pstmt.executeQuery();
} catch (SQLException e) {
    // Handle exceptions
}

这种方法确保了即使用户输入特殊字符也不会改变原始SQL语句结构[^1]。

#### 应用存储过程

采用存储过程也是一种有效的防护措施。存储过程是在数据库端定义好的一组SQL指令集合，在应用程序调用时只需传递必要的参数即可完成特定功能而无需暴露完整的SQL逻辑给前端应用层。

CREATE PROCEDURE GetUserByUsernameAndPassword(IN p_username VARCHAR(50), IN p_password VARCHAR(50))
BEGIN
    SELECT * FROM users WHERE username = p_username AND password = p_password;
END

当客户端请求数据时只需要指定所需的操作名称以及相应的参数值就可以安全地获取到想要的结果集而不必担心潜在的安全风险[^3].

#### 输入验证与清理

严格校验来自用户的任何输入是非常重要的一步。这不仅限于检查长度、格式等内容是否合法合理；更重要的是去除掉可能引起问题的非法字符比如单引号(`'`)双引号(`"`). 对于HTML页面来说，则还需要考虑XSS跨站脚本攻击的风险因素.

function sanitizeInput(input){
  let sanitized = input.replace(/[^\w\s]/gi,'');
  return sanitized;
}

此函数会移除所有非字母数字和空白符之外的内容以减少因不当编码而导致安全隐患的可能性[^2].

#### 实施最小权限原则

遵循最低特权模型意味着只为程序授予其正常运行所需的最少访问控制权. 这样即便发生意外情况也无法造成更大范围内的破坏影响其他未授权区域的数据完整性或可用性等问题.

例如创建专门用于读取记录只赋予select权利而不是update/delete等更高级别的操作许可; 或者设置防火墙规则限制外部连接至内部敏感资源服务器之间的通信路径等等具体做法都可以显著提高整体安全性水平.

#### 启用Web应用防火墙(WAF)

部署WAF作为额外的一道防线能够实时监控进出流量模式识别异常行为特征阻止可疑活动的发生发展直至彻底消除威胁源头为止. 它们通常具备自动更新签名库的能力以便及时应对新出现的各种变种形式保持长久有效性不受时间地点环境变化的影响约束.