Как этот код в PHP уязвим для SQL-инъекций?

Решение вашей проблемы на самом деле очень просто, вы вызываете Statement.executeQuery (String) , когда вы хотите вызвать PreparedStatement.executeQuery () -

this.stmt = con.prepareStatement(sql); // Prepares the Statement.
stmt.setInt(1, randNum);               // Binds the parameter.
// return this.stmt.executeQuery(sql); // calls Statement#executeQuery
return this.stmt.executeQuery();       // calls your set-up PreparedStatement