java - 如何避免 "Security - A prepared statement is generated from a nonconstant String"FindBugs 警告

Question

我正在从事一个项目，其中有一段代码如下所示:

String sql = "SELECT MAX(" + columnName + ") FROM " + tableName;                
PreparedStatement ps = connection.prepareStatement(sql);

有什么方法可以更改此代码，以便 FindBugs 停止给我一个“安全性 - 准备好的语句是从非常量字符串生成的”警告？

请假设此代码对于 SQL INJECTION 是安全的，因为我可以在代码的其他地方控制可能的“tableName”和“columnName”的值(它们不直接来自用户输入)。

Answer 1

不要通过+ 连接sql 字符串。你可以使用

String sql = String.format("SELECT MAX(%s) FROM %s ", columnName, tableName);

这比连接字符串慢，因此您应该初始化此 static 然后这不是问题。

我认为使用 StringBuilder 也会修复此警告。

避免此警告的另一种方法是在该字符串(或方法/或类)上方添加 @SuppressWarnings("SQL_PREPARED_STATEMENT_GENERATED_FROM_NONCONSTANT_STRING")。

你也可以使用 Filter File定义应排除的规则。