jfinalsql
❶ jfinal在做一些大型项目上,也是写全sql吗
2:非web项目
JFinal ORM 部分可以单拿出来用于非 web 项目。JFinal ORM设计灵感来自于 Rails 的 ActiveRecord,可以极大减少Db操作部分代码量,由于是对JDBC极薄封装,所以性能接近JDBC,另外 JFinal ActiveRecrod 使用的是原汁原味的 sql 语句,所以灵活性较 Hibernate 大得多。此外JFinal 其它插件如 C3p0Plugin也可以独立于 JFinal 之外单独使用。
3:移动设备项目
目前已有童鞋将 JFinal ActiveRecordPlugin 用于 android设备项目中的 sqlite 数据库。
❷ jfinal 怎么防止sql注入
数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原
在显示的时候对非法字符进行转义
如果项目还处在起步阶段,建议使用第二种,直接使用jstl的<c:out>标签即可解决非法字符的问题。当然,对于javascript还需要自己处理一下,写一个方法,在解析从服务器端获取的数据时执行以下escapeHTML()即可。
❸ jfinal中动态sql是一般是怎么使用的
动态sql一般用在存储过程中,可以在存储过程中使用DDL或DML语句,如创建删除操作。 语法:execute immediate 'DDL或DML语句'
❹ Jfinal 中怎么输出执行的sql语句
以mysql为例子吧,比如现在写了一个sql语句 select* from table 把这个sql语句复制到sqlyong上,执行就ok了 , 还是不懂的话 你先安装一个sql数据库,再安装一个客户端 ,把客户端跟数据库链接上,网络下怎么执行就清楚了。
❺ JFinal怎么执行SQL删除符合要求的集合数据
JFinal怎么执行SQL删除符合要求的集合数据
User..find("select * from user where name in (?, ?, ... ,? ) ", n1, n2... ,nn)。但jdbc 貌似不支持 in 语句的preparestatement,目前还没有想到好的办法。建议用 StringBuilder 拼装好 sql 再查询,只需先拼装好 in 里面的 sql 就成了。
❻ sql在工具上运行正常,在jfinal里该怎么改
以下是代码和示例性使用代码:
[java] view plain
/**
*
* 调用方式】 QueryHelper helper = new QueryHelper(Reply.class, "r")//
* .addCondition("r.topic=?", topic)// .addOrderProperty("r.postTime", true);
*
* PageBean pageBean = replyService.getPageBean(pageNum, pageSize, helper);
* 或者添加condition和orderby之后直接调用preparePageBean
*/
/**
*
* 用于生成 select .... 必须select,from前面的 需要查找哪些字段,如果全部就用*表示
*
❼ pgSql里运行sql语句没错,但在JFinal报错
PostgreSQL的PL/pgSQL语言是支持动态SQL语句的(说execute immediate的是ECPG所支持的)。但是,要记得重要的一点: 是在PL/pgSQL语言中支持。而PL/pgSQL语言一个块结构的语言,它以begin ... end为块的开始与结束标识。这也就是说,要执行动态SQL语句,就必须放到begin ... end块中,而不要想实现一个单独的动态SQL语句。在SQL Server中,倒是可以轻松的实现,我们可以直接执行一个这样的动态SQL:
1execute sp_executesql N'select 1 as val'
而在PostgreSQL中,就不要有此想法了。当然,SQL Server的这种动态SQL语句的执行方法也有其局限与不便的地方。
在PL/pgSQL中,执行动态SQL的格式如下(摘录自说明文档):
1EXECUTE command-string [ INTO [STRICT] target ] [ USING expression [, ... ] ];
其中,
command-string就是要执行的动态SQL语句(一定要记住:这里是SQL语句,不是PL/pgSQL语句,像raise notice就不能使用);
INTO子句是把SQL查询到的值赋给INTO指定的变量;
USING子句是前面的command-string中替代变量($1, $2, ...)的赋值;
示例:
123456789do $$declarev_c1 integer;v_c2 integer;beginexecute 'select count(*) as c1, count(*) as c2 from (select 1 as idx union select 11 as idx union select 21 as idx) s where idx > $1' into v_c1, v_c2using 10;raise notice '%, %', v_c1, v_c2;
❽ jfinal怎么取出出sql server中的流文件
public void save(){
/**
* 如果上传时,表单类型为multipart/form-data 需要调用getFile方法
* 摘文档:
* 3.4 getFile 文件上传
* Controller 提供了 getFile 系列方法支持文件上传。
* 特别注意:如果客户端请求为 multipart request(form 表单使用了 enctype="multipart/form-data"),
* 那么必须先调用 getFile 系列方法才 能使 getPara 系列方法正常工作,
* 因为 multipart request 需要通过 getFile 系列方法解析请求体中 的数据,包括参数。
*/
try {
getFile();
}catch (Exception e){
logger.error(e.getLocalizedMessage(), e);
}
/*验证是否重复提交*/
if(!checkFormToken()) return;
BizTips eo=getModel(BizTips.class,"m");
// eo.set(BizTips.COL_CREATETIME, DateTimeKit.getDate());
boolean status = eo.save();
JsonView json=new JsonView();
json.setStatus(status);
json.setMsg(status? OperateType.SAVE_SUCCESS:OperateType.SAVE_FAIL);
renderJson(json);
}
❾ 大家畅所欲言,当jFinal遇到XSS和SQL注入怎么处理
数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原
在显示的时候对非法字符进行转义
如果项目还处在起步阶段,建议使用第二种,直接使用jstl的<c:out>标签即可解决非法字符的问题。当然,对于Javascript还需要自己处理一下,写一个方法,在解析从服务器端获取的数据时执行以下escapeHTML()即可。
附:Javascript方法:
String.prototype.escapeHTML = function () {
return this.replace(/&/g, ‘&’).replace(/>/g, ‘>’).replace(/</g, ‘<’).replace(/”/g, ‘"’);
}
如果项目已经开发完成了,又不想大批量改动页面的话,可以采用第一种方法,此时需要借助Spring MVC的@InitBinder以及org.apache.commons.lang.PropertyEditorSupport、org.apache.commons.lang.StringEscapeUtils
public class StringEscapeEditor extends PropertyEditorSupport {
private boolean escapeHTML;
private boolean escapeJavaScript;
private boolean escapeSQL;
public StringEscapeEditor() { super(); }
public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript, boolean escapeSQL) {
super();
this.escapeHTML = escapeHTML;
this.escapeJavaScript = escapeJavaScript;
this.escapeSQL = escapeSQL;
}
@Override
public void setAsText(String text) {
if (text == null) {
setValue(null);
❿ jfinal怎么实现不写sql语句,操作数据库
executeQuery是专门用于执行sql查询的方法,从你的sql来开不是查询,而是执行的见表和插入语句,这种操作应该使用executeUpdate方法,同时不要把见表语句和insert语句拼成一个整个的语句去执行,这种方式在数据库直接执行ok没问题,但通过代码走...