Como se proteger contra injeção de SQL quando a cláusula WHERE é construída dinamicamente a partir do formulário de pesquisa?

Você já viu o JDBC NamedParameterJDBCTtemplate ?

Você pode fazer coisas como:

String sql = "select count(0) from T_ACTOR where first_name = :first_name";
SqlParameterSource namedParameters = new MapSqlParameterSource("first_name", firstName);
return namedParameterJdbcTemplate.queryForInt(sql, namedParameters);

e construa sua string de consulta dinamicamente e, em seguida, construa seu SqlParameterSource similarmente.

Usando a condição If na cláusula where

Mostrar a última mensagem em uma matriz de mensagens

Estimativa de cardinalidade para vários predicados
Armazenando arquivos no banco de dados SQL usando FILESTREAM – Parte 1
Incrementar o valor da coluna em determinada condição na consulta SQL no Postgresql
As novas colunas de índice devem estar na chave ou incluídas?