在JDBC查询中使用表名作为参数的安全方法

将表名作为参数放入SQL查询的安全方法是什么？您不能使用PreparedStatement将表名作为参数。可以使用Statement连接字符串以执行具有动态表名称的查询，但是不建议这样做，因为存在SQL注入的风险。最好的方法是什么？

我将尝试解决设计问题，因此您不必动态设置表名。如果无法做到这一点，那么我将进行一种设计，在该设计中，您管理可用表的列表，并且用户从中选择一个表（按ID），以便您可以从所选ID中检索真实的表名，并用它替换表名占位符，避免在表名替换中出现sql注入的任何机会。