Estoy usando

jdbcTemplate para hacer conexiones JDBC a una base de datos mySQLPreparé declaraciones para protegerme lo más posible de los ataques de inyección SQL.en la necesidad de aceptar solicitudes del usuario para ordenar los datos en una docena de columnas diferentes

la siguiente declaración

jdbcTemplate.query("SELECT * FROM TABLE1 ORDER BY ? ?", colName, sortOrder);

Por supuesto, esto no funciona, porque no se supone que los enlaces de variables especifiquen nombres de columna solo valores de parámetros para expresiones en la consulta.

Entonces ... ¿cómo están resolviendo las personas este problema? Hacer el ordenamiento en el código Java parece ser una solución fácil, pero ya que obtengo una cadena variable para la columna y una variable que me indica el orden ... eso es un número feo de condiciones de comparación para cubrir. Esto parece que debería ser un problema común con un patrón común para resolverlo ...