Я не знаю инструмент Fortify, но я знаю, что в этом случае это неправильно.Использование $ table $ является приемлемым способом изменения SQL с использованием iBATIS, т.е. значение замены будет заменено в фактическом сгенерированном SQL, а не добавлено в качестве параметра.
Насколько я знаю, это единственный способиспользуя динамические имена таблиц.
Редактировать : Только что проверил инструмент Fortify и нашел это .Что их беспокоит, так это SQL-инъекция.Прочтите страницу для получения дополнительной информации.
Что вам нужно сделать, это просто убедиться, что значение, которое передается кодом в качестве параметра "table", не исходит от пользователя, то есть от любого пользователясистема вообще не сможет изменять параметр таблицы.