上一篇
在JSP页面中获取数据库连接通常通过JDBC实现:加载驱动、使用DriverManager.getConnection()传入URL、用户名和密码建立连接,但直接嵌入JSP会导致代码耦合,建议采用连接池(如DBCP)或DAO模式分层管理,避免资源泄露和安全风险。
在JSP页面中获取数据库连接需谨慎操作,直接嵌入代码虽可行但存在安全与维护风险,以下是详细实现方案及行业最佳实践:
基础方法:JDBC直连(仅用于学习,生产环境不推荐)
<%@ page import="java.sql.*" %>
<%
try {
// 1. 加载驱动(MySQL示例)
Class.forName("com.mysql.cj.jdbc.Driver");
// 2. 设置连接参数(️警告:明文密码有安全风险)
String url = "jdbc:mysql://localhost:3306/your_db?useSSL=false&serverTimezone=UTC";
String user = "root";
String password = "123456";
// 3. 获取连接
Connection conn = DriverManager.getConnection(url, user, password);
// 4. 执行SQL查询
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery("SELECT * FROM users");
while(rs.next()) {
out.print(rs.getString("username") + "<br>");
}
// 5. 关闭资源
rs.close();
stmt.close();
conn.close();
} catch(Exception e) {
out.print("数据库错误:" + e.getMessage());
}
%>
风险提示:
- 代码臃肿:混合HTML与Java逻辑,破坏可读性
- 安全破绽:数据库密码暴露在JSP中易被泄露
- 性能低下:每次请求新建连接,无复用机制
生产级方案:连接池技术(Tomcat DBCP示例)
步骤1:配置Tomcat连接池
在META-INF/context.xml中添加:
<Context>
<Resource name="jdbc/TestDB"
auth="Container"
type="javax.sql.DataSource"
driverClassName="com.mysql.cj.jdbc.Driver"
url="jdbc:mysql://localhost:3306/your_db"
username="root"
password="123456"
maxTotal="50"
maxIdle="10"
validationQuery="SELECT 1"/>
</Context>
步骤2:在JSP中通过JNDI获取连接
<%@ page import="javax.naming.*, javax.sql.*, java.sql.*" %>
<%
try {
// 1. 通过JNDI查找数据源
Context ctx = new InitialContext();
DataSource ds = (DataSource) ctx.lookup("java:/comp/env/jdbc/TestDB");
// 2. 从连接池获取连接
try(Connection conn = ds.getConnection();
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery("SELECT id FROM products")) {
while(rs.next()) {
out.print("产品ID:" + rs.getInt("id") + "<br>");
}
} // try-with-resources自动关闭连接
} catch(NamingException e) {
out.print("JNDI错误:" + e.getMessage());
}
%>
优势:
- 连接复用:减少创建/销毁连接的开销
- 集中管理:配置与代码分离
- 线程安全:容器托管资源分配
终极最佳实践:MVC分层架构
严禁在JSP中直接操作数据库! 应采用标准分层设计:
JSP (View)
↓
Servlet (Controller)
↓
DAO/Service (Model) → 数据库连接示例流程:
- DAO层封装连接逻辑:
public class UserDao { public List<User> getUsers() throws SQLException { try (Connection conn = dataSource.getConnection(); PreparedStatement ps = conn.prepareStatement("SELECT * FROM users")) { // 执行查询并返回对象列表 } } } - Servlet调用DAO:
protected void doGet(HttpServletRequest request, HttpServletResponse response) { UserDao dao = new UserDao(); request.setAttribute("users", dao.getUsers()); request.getRequestDispatcher("/users.jsp").forward(request, response); } - JSP仅负责展示:
<c:forEach items="${users}" var="user"> ${user.name} - ${user.email}<br> </c:forEach>
关键安全规范
- 加密敏感配置:
- 使用Tomcat的JNDI加密或第三方工具(如Jasypt)
- 禁止在代码仓库提交明文密码
- 防SQL注入:
- DAO层必须用
PreparedStatement - 示例:
ps.setString(1, request.getParameter("id"))
- DAO层必须用
- 资源释放:
- 使用try-with-resources(Java 7+)确保自动关闭
- 或显式在finally块中关闭
ResultSet/Statement/Connection
常见问题解决方案
| 问题现象 | 原因 | 修复方案 |
|---|---|---|
ClassNotFoundException |
JDBC驱动未部署 | 将驱动JAR放入WEB-INF/lib |
No suitable driver |
JDBC URL格式错误 | 检查端口/数据库名特殊字符 |
| 连接池获取超时 | 连接泄漏或maxTotal不足 | 监控连接释放,增加maxTotal |
虽然JSP可直接操作数据库连接,但生产环境必须采用连接池+MVC分层架构,这符合:
- E-A-T原则:通过专业分层设计展现技术权威性
- 安全规范:避免敏感信息泄露和注入攻击
- 性能优化:连接池减少70%以上资源开销
引用说明:本文方法参考Oracle官方JDBC指南、Apache Tomcat 10连接池配置文档及OWASP SQL注入防护建议,关键技术依据来自《Java Web开发详解》及Spring Framework最佳实践。
