Para evitar os efeitos indesejáveis de ataques SQL Injection em aplicações web, uma recomendação correta de programação segura é

não utilizar ferramentas Object Relational Mapping (ORM) como Hibernate, NHibernate ou JPA.

utilizar as propriedades security="true" e/ou encode="secure" nos campos de formulários HTML.

realizar a validação dos dados de entrada do lado do servidor por meio de whitelists.

validar a entrada de dados no cliente, evitando assim qualquer possibilidade de envio de instruções maliciosas ao servidor.

utilizar concatenação de valores nas consultas de dados ao invés de consultas parametrizadas.