Другие стратегии для реализации <sql: query>
Я использую JSTL для извлечения значений из моей базы данных и отображения их на моей странице jsp с использованием аналогичного кода, как показано ниже.
<sql:setDataSource
var="myDS"
driver="com.mysql.jdbc.Driver"
url="jdbc:mysql://localhost:3306/mydb"
user="root" password="secret"
/>
<sql:query var="list_users" dataSource="${myDS}">
SELECT * FROM users;
</sql:query>
<c:forEach var="user" items="${listUsers.rows}">
<c:out value="${user.name}" />
<c:out value="${user.email}" />
<c:out value="${user.profession}" />
</c:forEach>
Мой руководитель группы посоветовал мне, чтобы не было правильной практики отправлять запросы непосредственно на страницу jsp. Поскольку в этом коде есть имя базы данных, имя пользователя и пароль, я не уверен, реализует ли этот код надлежащую безопасность. Я хотел бы знать ваши мысли по этому вопросу, и если есть какая-либо альтернатива, чтобы сделать это, используя JSTL.
2 ответа
Поскольку JSTL выполняется на стороне сервера, нет дыры в безопасности, потому что запрос не может быть замечен клиентами приложения. Существуют и другие проблемы с этим подходом:
- Запрос не может использоваться повторно. Если вам это нужно на других страницах, вам нужно будет повторить запрос. Когда у вас есть простые запросы, подобные этому, вы не можете проверить проблему, но это связано с более сложными операциями, которые также нуждаются в параметрах.
- Вы создаете соединение вручную на странице! Это замедлит ваше приложение. Используйте правильный источник данных для пула соединений с базой данных, настроенного как ресурс или программно (например, C3PO или BoneCP)
Переместите весь код базы данных в соответствующие классы уровня доступа к данным. И используйте <sql> для JSTL только для учебных целей, а не для приложений реального мира.
Больше информации:
Вы действительно должны делать свой запрос в своем классе java, а не в jsp, как советует ваш руководитель.
На стороне безопасности это не имеет особого значения, весь код доступен на сервере, jsp или java. Тег sql не должен выводить эту информацию на сгенерированную страницу.
Но на самом деле вопрос касается правильного использования технологий:
jsp используется как шаблон, он должен принимать данные и показывать их конечному пользователю. Некоторая базовая операция может быть выполнена путем циклизации жизненного цикла в списке данных или формировании данных, но это должно быть только для представления, которое вы хотите сделать
java-контроллер используется для восстановления данных и настройки представления по мере необходимости, как для использования jsp, а какие данные для отправки в jsp
Ещё вопросы
- 0как использовать show () и hide () с задержкой ()?
- 0Переход через неограниченные вложенные массивы
- 1различная точность числового текста в зависимости от числового значения
- 1Как я могу протестировать простое серверно-клиентское приложение на своем домашнем компьютере?
- 0Javascript - удаление элемента из массива
- 1DataGrid добавить редактируемые строки WFP
- 0навигатор настроен на полный диапазон
- 0Как использовать попсовер AngularStrap в сервисе
- 1node.js печатает пользовательский объект перечисления с дополнительным полем [Number], например {[Number: 10] name: 'Dime', значение: 10}
- 0ограничение или скрытие php-файлов от доступа к исходному коду на локальном сервере.
- 0Python слишком много значений, чтобы распаковать при попытке вставить данные из словаря
- 1Как создать точечный график с метками времени
- 1React Native подписанный apk завершается неудачно после обновления версии средства сборки gradle до 3.2.1
- 0Handsontable реализация
- 0Внешний ключ в дочерней таблице является нулевым после сохранения @OneToMany
- 0CakePHP генерирует ссылку, параметр аргумента которой определяется входом select
- 1Родительские дочерние таблицы, добавление дочерних записей для существующей родительской записи неправильно добавляет новые родительские записи, а затем добавляет дочернюю запись
- 0Передайте два значения из поля выбора, как только его выберут
- 0Javascript скрипты замедляются до нуля
- 1Как сохранить произвольный словарь в файле, чтобы его можно было прочитать и на Фортране?
- 0Как установить Qwidget внутри QGraphicsWidget?
- 1Невозможно выполнить излучение в определенную комнату и клиента (Socket.io 2.0.2)
- 0MySQL Query, возвращающий дублированные результаты
- 1dojoConfig не может найти ресурсы скрипта при работе на IIS
- 1Приложение закрывается после того, как намеренно не дал разрешение на местоположение
- 1Загрузка автономных данных lang в tesseract.js
- 1PyQt: множественный QProcess и вывод
- 0Передать параметры с помощью службы Angular resource
- 1Справочник по Visual Studio 2013
- 0jQuery .on () и .not ()
- 1Уведомления не получаются на устройство, но получают успех на FCM, в чем проблема?
- 0показ дополнительной строки при чтении файла в c ++ с использованием fstream
- 0QTableWidgetItem другой размер шрифта в одной ячейке
- 0Создать полный HTML-сайт, используя структуру каталогов и подкаталогов
- 0Я новичок в веб-браузере Android и использую JavaScript
- 0Как открыть несколько форм на одной HTML-странице?
- 1Как создать вложенный массив объектов JSON, используя Python?
- 0Получить геометрические кординаты из таблицы Oracle
- 1Ошибка: (251, 5) ошибка: дублирующее значение для ресурса 'attr / pivotX' с config '
- 0Генерация PDF-файлов в Ionic из pdf-строки, уже сгенерированной на стороне клиента, и сохранение ее на устройстве
- 1Создать гиперссылку для доступа к нескольким листам Excel с помощью Python
- 0как получить необходимый контент, используя функцию strip_tags в php
- 1java.lang.NullPointerException в сервлете
- 1Преобразование даты в Java-приложении
- 1развернуть / свернуть Анимация Android наполовину
- 0Как я могу читать не символы, такие как арабские слова в PHP
- 0angularjs: проверить длину фильтра в повтор
- 1Как отложить вызов в базу данных от gwt?
- 0fstream, ofstream, передача имени документа, C ++
- 0Как выбрать записи с интервалом в минутах текущего дня и времени?
