在JDBC查询中使用表名作为参数的安全方法

我会尝试解决设计问题，因此您不必动态设置表名。 如果这是不可能的，我会去设计一个管理可用表列表的设计，用户从那里选择一个BY ID，这样你就可以从所选的id中检索真实的表名，并用它替换表名占位符。 ，避免在表名替换中有任何sql注入的机会。

最好的方法是：

1. 将表名放在用于分隔从一个数据库更改为另一个数据库的表名称的字符之间
2. 并相应地转义提供的表名，以便不再可能进行SQL注入。

因此，例如在MySQL情况下，表名的分隔符是反引号字符，我们通过简单地加倍来逃避它。

如果您的查询是SELECT foo from bar ，则可以将您的查询重写为下一个：

  String query = String.format("SELECT foo from `%s`", tableName.replace("`", "``")); 

这样，您可以注入表的名称，而不会冒着看到注入恶意代码的风险。

在动态JDBC查询中仅允许实际参数背后有一个基本原理：参数可以来自外部并且可以取任何值，而表和列名称是静态的 。

可以有用于参数化表或列名的用例，主要是当不同的表具有几乎相同的结构时，并且由于DRY原则，您不希望重复多次相同的查询，只更改表（或列）名称。 但在该用例中，程序员可以完全控制将替换的名称，并且应该仔细测试其中任何一个都没有拼写错误=>这里没有SQL注入的可能性，并且可以安全地替换表查询字符串中的名称。

对于在Internet上公开的Web应用程序来说，这是完全不同的，其中查询将使用在表单字段中输入的内容，因为这里可能发生任何事情，包括用于终止原始无害查询的半圆并伪造新的有害的一个=> SQL注入如果您只是连接字符串而不是正确构建参数化查询。

我无法想象一个用例，其中表名或列名可以是用户在表单字段中键入的字符串，这是允许参数化它们的唯一原因。