SQL注入是一种常见的Web应用程序攻击技术，攻击者通过在Web应用程序中注入恶意SQL语句，从而执行未经授权的数据库操作。这种攻击技术非常危险，可能导致数据泄露、数据破坏、甚至服务器被攻击者完全控制。因此，Web应用程序开发者必须采取一系列措施来防范SQL注入攻击。

以下是几种防止Web应用程序SQL注入攻击的常用技术：

1. 使用参数化查询

参数化查询是防范SQL注入攻击的最有效方法之一。参数化查询是指使用占位符（例如"?"）来代替SQL查询中的变量，然后将变量值作为参数传递给查询。这样可以避免恶意SQL语句的注入。以下是一个使用参数化查询的示例：

```
String sql = "SELECT * FROM users WHERE username = ?";
PreparedStatement stmt = conn.prepareStatement(sql);
stmt.setString(1, username);
ResultSet rs = stmt.executeQuery();
```

在这个示例中，"username"是用户输入的变量，而使用PreparedStatement类的setString方法将其作为参数传递给查询。PreparedStatement类会对参数值进行严格的类型检查，从而防止恶意SQL注入攻击。

2. 对用户输入进行有效性验证和过滤

对用户输入进行有效性验证和过滤可以帮助防止恶意SQL语句的注入。例如，对于数字输入，可以使用正则表达式来验证输入是否为数字；对于字符输入，可以移除其中的特殊字符和关键字，如单引号、双引号、分号等等。以下是一个使用正则表达式来验证数字输入的示例：

```
if (!input.matches("\\d+")) {
    throw new IllegalArgumentException("Invalid input: " + input);
}
```

在这个示例中，使用matches方法来验证输入是否为数字。如果输入不是数字，则抛出一个异常。

3. 最小权限原则

最小权限原则是指将数据库用户的权限限制在必要的最小范围内。例如，对于Web应用程序而言，通常只需要对数据库进行读取和写入操作，因此不需要将数据库用户赋予管理员权限。如果数据库用户的权限被设置得过高，那么一旦Web应用程序被SQL注入攻击，攻击者将有权限对整个数据库进行操作，造成灾难性的后果。

4. 使用ORM框架

ORM（Object-Relational Mapping）框架是一种将对象模型和关系型数据库模型进行映射的技术。ORM框架可以帮助开发者将数据库操作封装在对象方法中，从而避免直接使用SQL语句。ORM框架通常会自动对用户输入进行过滤和参数化处理，从而有效地防止SQL注入攻击。常见的ORM框架包括Hibernate、MyBatis等等。

总之，防范Web应用程序SQL注入攻击需要开发者采取一系列措施，包括使用参数化查询、对用户输入进行有效性验证和过滤、最小权限原则、使用ORM框架等等。只有综合使用这些技术手段，Web应用程序才能有效地防范SQL注入攻击，保护用户数据的安全。