Meu aplicativo tem muitas consultas JDBC gravadas usando o Statement e, portanto, é vulnerável à injeção de SQL. Infelizmente, este aplicativo foi desenvolvido há cerca de 10 anos e provavelmente os desenvolvedores não sabiam sobre a declaração Preparado.

Sei que a melhor maneira de resolver esse problema é usar o PreparedStatement, mas é muito entediante convertê-lo em todo o aplicativo. Além disso, escrever qualquer tipo de correspondência de Patten para injeção de SQL pode ser muito complicado, pois palavras-chave como Selecionar, inserir, união etc. são todas palavras em inglês que também podem aparecer em um campo de texto digitado pelo usuário.

Existe uma maneira mais inteligente de evitar a injeção de SQL sem usar a instrução Prepared. Se esta é uma pergunta duplicada, por favor, me dê o link para a pergunta que tem uma boa resposta. Obrigado pela ajuda.