防止sql注入的【特殊需求】
要求:表名是在代码中根据当前年份和月份拼接而成,比如今天是2018-11-15,那么表名是tab201811,下一个月表名就是tab201812.
在写sql语句时,需要把表名拼接到sql中。比如strSql = "insert into "insert into " + tabName + "(id,name) values (?,?)"
但是项目安全测试时检查有sql注入。
各位大家是怎么解决的??
在线等?
我能想到其中一个办法是把表名存到一个表里,然后把读取表的sql放到tabname处。
还有什么其他好的解决方案么???