A. jfinal 怎么防止sql注入
数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原
在显示的时候对非法字符进行转义
如果项目还处在起步阶段,建议使用第二种,直接使用jstl的<c:out>标签即可解决非法字符的问题。当然,对于Javascript还需要自己处理一下,写一个方法,在解析从服务器端获取的数据时执行以下escapeHTML()即可。
B. 说说你为什么不用JFinal
原因有三点:
1、它没有给我带来便利, 并且找不到使用它的理由。
2、很难与其他主流框架进行整合。
3、过度封装并且使用它的同时我很难遵守代码规范。
先说说第一点, 对比spring系列, 并没有感觉它有多么便利, 创建一个Jfinal工程我需要1分钟, 创建一个Spring工程我也需要1分钟, 但是在实际开发时, Jfinal所消耗的时间会更多, 因为它不灵活。
并且代码比较啰嗦, 比如创建一个Controller, 我需要继承他的一个公共类, 并且需要在配置类里配置好它的路由, 并且需要在接口方法中使用getRequest方法。
JFinal WEB MVC和Struts简要对比:
JFinal遵循COC原则,零配置,无xml,而struts需要配置来支持action、result、interceptor配置与使用。
JFinal开发效率非常之高,相对Struts开发效率能提升五到十倍。
JFinal代码量非常省,相对Struts开发能省50%到70%代码量。
JFinal遵循Restful规范,而struts自身未提供Restful支持。Struts可以通过插件来支持restful,但支持不彻底使用不方便。
JFinal提供数据库支持,属于一站式解决方案,而struts仅为WEBMVC框架并未提供数据库支持。
JFinal学习成本极低,只需两个小时学习即可上手开发,而Struts学习成本相对较高。
JFinal相对Struts来说更加轻量级,JFinal打包jar文件仅173KB,而struts则为1.8MB。
JFinal ORM和Hibernate简要对比:
JFinal采用ActiveRecord实现数据库操作支持,较Hibernate开发效率提升六到十倍。
JFinal ActiveRecord较Hibernate学习成本低,一小时内能上手开发。
JFinal零配置,对数据库支持五个无特点:无xml、无annotation、无getter、无setter、无attribute,极大降低了代码量,统计证实代码量节省70%到95%。
JFinal数据库操作完全采用原生sql,相对Hibernate采用的HQL学习成本低,功能更强大,性能更高,稳定性好。
C. jfinal如何捕获sql异常
在 jfinal 中,可以通过在全局拦截器中捕获 SQL 异常乱森,具体步骤如下:
1. 新建一个全局拦截器类,实现 Interceptor 接口,在其中重写 intercept() 方法。
2. 在 intercept() 方法中,通过 try-catch 块捕游旦获 SQL 异常,然后将异常信息打印出来,或者将其记录到日志中。
原因是,JFinal 是一个基于 Java 的轻量级 Web 框架,其底层使用了高效、稳定的 ORM 框架 ActiveRecord,可以方便地进行数据访问和操作。但在实际开发中,可能会出现 SQL 执行异常的情况,比如语法错误、连接超时等,需要进行相应的处理。
通过在全局拦截器中捕获 SQL 异常,可以对异常进行统一处理,从而提高代码的可维护性和稳定性。例如,可以将异常信息记录到日志中,便于开发人员快速定位和解决问题;或者向用户返回友好的错误提示,提高用哗磨亩户体验。
需要注意的是,在捕获 SQL 异常时,应该避免直接将异常信息输出到前端页面,以免给攻击者提供攻击突破口。同时,也应该避免将敏感信息记录到日志中,以免造成安全隐患。
D. pgSql里运行sql语句没错,但在JFinal报错
PostgreSQL的PL/pgSQL语言是支持动态SQL语句的(说execute immediate的是ECPG所支持的)。但是,要记得重要的一点: 是在PL/pgSQL语言中支持。而PL/pgSQL语言一个块结构的语言,它以begin ... end为块的开始与结束标识。这也就是说,要执行动态SQL语句,就必须放到begin ... end块中,而不要想实现一个单独的动态SQL语句。在SQL Server中,倒是可以轻松的实现,我们可以直接执行一个这样的动态SQL:
1execute sp_executesql N'select 1 as val'
而在PostgreSQL中,就不要有此想法了。当然,SQL Server的这种动态SQL语句的执行方法也有其局限与不便的地方。
在PL/pgSQL中,执行动态SQL的格式如下(摘录自说明文档):
1EXECUTE command-string [ INTO [STRICT] target ] [ USING expression [, ... ] ];
其中,
command-string就是要执行的动态SQL语句(一定要记住:这里是SQL语句,不是PL/pgSQL语句,像raise notice就不能使用);
INTO子句是把SQL查询到的值赋给INTO指定的变量;
USING子句是前面的command-string中替代变量($1, $2, ...)的赋值;
示例:
123456789do $$declarev_c1 integer;v_c2 integer;beginexecute 'select count(*) as c1, count(*) as c2 from (select 1 as idx union select 11 as idx union select 21 as idx) s where idx > $1' into v_c1, v_c2using 10;raise notice '%, %', v_c1, v_c2;
E. Jfinal执行insert into 语句,该用哪个方法
Db.update("insert into ..." ) ,当耐滑唤然,让烂如果昌凯不想写 sql ,还可以:
Record r = new Record().set(...).set(...);
Db.save(table, r);
F. 浅谈java框架jfinal和nutz的区别
jfinal框架:
JFinal 是基于 Java 语言的极速 WEB + ORM 框架,其核心设计目标是开发迅速、代码量少、学习简单、功能强大、轻量级、易扩展、Restful。 在拥有Java语言所有优势的同时再拥有ruby
、python、php等动态语言的开发效率。
Nutz是对于Java程序员来说,除SSH之外的另一个选择。当然,它是开源的,并且是完全免费的。同时也是商业友好的(Licensed under the Apache License, Version 2.0)。
轻 -- 当前最新版,整个jar文件共910kB -- 针对JDBC的薄封装,无缓存。
全 -- 提供了Dao(ORM, SQL管理),Ioc, Aop, Mvc, Json解析等必要功能。
G. jfinal中动态sql是一般是怎么使用的
动态sql一般用在存储过程中,可以在存储过程中使用DDL或DML语句,如创建删除操作。 语法:execute immediate 'DDL或DML语句'
H. Jfinal拦截器中如何获取POST数据
网页链接
getPara系列方法
Controller提供了getPara系列方法用来从请求中获取参数。getPara系列方法分为两种类型。第一种类型为第一个形参为String的getPara系列方法。该系列方法是对HttpServletRequest.getParameter(String name)的封装,这类方法都是转调了HttpServletRequest.getParameter(String name)。
第二种类型为第一个形参为int或敏闷无形参的getPara系列方法。该系列方法是去获取urlPara中所带的参数值。getParaMap与getParaNames分别对应HttpServletRequest的getParameterMap与getParameterNames。
记忆技巧:第一个参数为String类型的将获取表单或者url中问号挂参的域值。第一个参数为int或无参数的将获取urlPara中的参数值。
getPara使用例子:
getBean与getModel系列 :网页链接
getModel用来接收页面表单域银岁传递过来的model对象,表单域名称以”modelName.attrName”方式命名,getModel使用的attrName必须与数据表字段桥搏弯名完全一样。
getBean方法用于支持传统Java Bean,包括支持使用jfinal生成器生成了getter、setter方法的Model,页面表单传参时使用与setter方法相一致的attrName,而非数据表字段名。
getModel与getBean区别在于前者使用数据库表字段名而后者使用与setter方法一致的属性名进行数据注入。建议优先使用getBean方法。