SQL 注入是一种利用 SQL 语句注入技术实施的攻击方式。攻击者通过将恶意 SQL 命令插入到 Web 表单提交数据、输入的域名或页面请求的查询字符串中，欺骗服务器执行这些恶意 SQL 命令 。为有效防范项目中的 SQL 注入攻击，可采取以下措施：

使用 PreparedStatement：这是一种预编译的 SQL 语句。通过将参数值单独传递，它避免了 SQL 语句拼接的过程，能有效防止 SQL 注入攻击。在实际编程中，相较于普通的 SQL 语句执行方式，PreparedStatement 极大地降低了被 SQL 注入攻击的风险。

运用 MyBatis 中的 #{} 占位符：在 MyBatis 框架里，使用 #{} 可防止 SQL 注入。MyBatis 会自动把 #{} 替换为？，并对用户传入的参数进行 Escape 处理，以此保障 SQL 语句执行的安全性。

对请求参数进行过滤：对用户请求参数中的敏感词汇进行过滤，有助于防范多种注入攻击，包括 SQL 注入、XSS 等。常见做法是构建敏感词汇库，收集如 delete、drop、script 等所有可能的敏感词汇，并定期更新。接着对用户请求参数进行遍历，判断参数值是否包含敏感词汇。一旦发现，可采取返回错误提示、拒绝请求、删除敏感词汇后再进行后续处理，或者将敏感词汇替换为安全占位符等方法。

对关键参数与业务规则进行校验：对关键参数的长度、类型、允许范围等进行校验。同时考虑在边界处进行过滤，如借助 WAF、防火墙等设备。避免在 SQL 中直接拼接参数，应优先使用参数化查询。并且在输出时，对敏感数据进行编码或替换，以防止敏感信息泄露引发的安全风险。

利用 nginx 作为反向代理服务器：nginx 可实现多项防范 SQL 注入的措施，包括请求参数过滤、启用 Web 应用防火墙功能、访问控制、隐藏数据库结构信息以及控制连接数据库的用户权限等，为防范 SQL 注入攻击增添一道防线。

通过采用上述使用 PreparedStatement、MyBatis 中的 #{} 占位符、对请求参数进行过滤、对关键参数与业务规则进行校验以及使用 nginx 作为反向代理服务器等措施，能够有效防止 SQL 注入攻击，保障项目的安全性。