java操作有些数据库比如clickhouse暂时还用的是jdbc,执行sql时面临使用statement还是prepareStatement,其中statement写的简单不过会有sql注入最后安全检查不过。prepareStatement就不会,因为使用了占位符,?,像myBatis也是占位符,就不会有sql注入。
不过?只能替换值,不能替换表名。比如select * from ? where id = '1', 执行prepareStatement结果是不对的。诸多原因,编译上的,还有?其实两边默认有单引号。那如何prepareStatement使用占位符替换表名呢?
答案简单的说,没有!
参考sql - How to use a tablename variable for a java prepared statement insert - Stack Overflow
java - How to prevent SQL injection when the statement has a dynamic table name? - Stack Overflow
不要试图用啥单引号替换,string拼接啥的,要么做不到要么无法避免sql注入。
结论就是只能用白名单,检查表名