java - 在 JDBC 查询中使用表名作为参数的安全方法

Question

将表名作为参数放入 SQL 查询的安全方法是什么？您不能使用 PreparedStatement 将表名作为参数.使用 Statement 连接字符串以使用动态表名执行查询是可能的，但不推荐这样做，因为存在 SQL 注入(inject)的风险。执行此操作的最佳方法是什么？

Answer 1

最好的方法是:

1. 将您的表名放在用于分隔从一个数据库更改为另一个数据库的表名的字符之间
2. 并相应地对提供的表名进行转义，这样 SQL 注入(inject)就不再可能了。

因此，例如在 MySQL 的情况下，表名的分隔符是反引号字符，我们通过简单地将其加倍来转义它。

如果您的查询是SELECT foo from bar，您可以如下重写您的查询:

 String query = String.format("SELECT foo from `%s`", tableName.replace("`", "``"));

通过这种方式，您可以注入(inject)表名，而无需冒看到注入(inject)某些恶意代码的风险。