Ⅰ jfinal中动态sql是一般是怎么使用的
动态sql一般用在存储过程中,可以在存储过程中使用DDL或DML语句,如创建删除操作。 语法:execute immediate 'DDL或DML语句'
Ⅱ Jfinal 中怎么输出执行的sql语句
以mysql为例子吧,比如现在写了一个sql语句 select* from table 把这个sql语句复制到sqlyong上,执行就ok了 , 还是不懂的话 你先安装一个sql数据库,再安装一个客户端 ,把客户端跟数据库链接上,网络下怎么执行就清楚了。
Ⅲ 大家有没有用过JFinal框架的 觉得怎么样
轻量级,支持快速开发,我现在手上的一个项目就是用的jfinal,直接用sql语句操作数据库,个人感觉还可以。
Ⅳ 请教一个jfinal的SQL问题
本来说最好的办法是: User..find("select * from user where name in (?, ?, ... ,? ) ", n1, n2... ,nn)。但jdbc 貌似不支持 in 语句的preparestatement,目前还没有想到好的办法。建议用 StringBuilder 拼装好 sql 再查询,只需先拼装好 in 里面的 sql 就成了。以后我会试验一下带问号挂参的方式。
public void test15() throws ZSqlException {
ZDBUtil dbUtil = new ZDBUtil("app");
List params=new ArrayList();
params.add(1);
params.add(2);
RecordSet rs=dbUtil.getRecords("select * from USER_INFO where id in (?,?)",params);
dbUtil.releaseConnToPool();
System.out.println(rs.getRowDatas());
}
Ⅳ 大家畅所欲言,当jFinal遇到XSS和SQL注入怎么处理
数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原
在显示的时候对非法字符进行转义
如果项目还处在起步阶段,建议使用第二种,直接使用jstl的<c:out>标签即可解决非法字符的问题。当然,对于Javascript还需要自己处理一下,写一个方法,在解析从服务器端获取的数据时执行以下escapeHTML()即可。
附:Javascript方法:
String.prototype.escapeHTML = function () {
return this.replace(/&/g, ‘&’).replace(/>/g, ‘>’).replace(/</g, ‘<’).replace(/”/g, ‘"’);
}
如果项目已经开发完成了,又不想大批量改动页面的话,可以采用第一种方法,此时需要借助Spring MVC的@InitBinder以及org.apache.commons.lang.PropertyEditorSupport、org.apache.commons.lang.StringEscapeUtils
public class StringEscapeEditor extends PropertyEditorSupport {
private boolean escapeHTML;
private boolean escapeJavaScript;
private boolean escapeSQL;
public StringEscapeEditor() { super(); }
public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript, boolean escapeSQL) {
super();
this.escapeHTML = escapeHTML;
this.escapeJavaScript = escapeJavaScript;
this.escapeSQL = escapeSQL;
}
@Override
public void setAsText(String text) {
if (text == null) {
setValue(null);
Ⅵ jfinal登录时一直是空指针,但同样的sql写在数据库里就能查到
executeQuery是专门用于执行sql查询的方法,从你的sql来开不是查询,而是执行的见表和插入语句,这种操作应该使用executeUpdate方法,同时不要把见表语句和insert语句拼成一个整个的语句去执行,这种方式在数据库直接执行ok没问题,但通过代码走...
Ⅶ pgSql里运行sql语句没错,但在JFinal报错
PostgreSQL的PL/pgSQL语言是支持动态SQL语句的(说execute immediate的是ECPG所支持的)。但是,要记得重要的一点: 是在PL/pgSQL语言中支持。而PL/pgSQL语言一个块结构的语言,它以begin ... end为块的开始与结束标识。这也就是说,要执行动态SQL语句,就必须放到begin ... end块中,而不要想实现一个单独的动态SQL语句。在SQL Server中,倒是可以轻松的实现,我们可以直接执行一个这样的动态SQL:
1execute sp_executesql N'select 1 as val'
而在PostgreSQL中,就不要有此想法了。当然,SQL Server的这种动态SQL语句的执行方法也有其局限与不便的地方。
在PL/pgSQL中,执行动态SQL的格式如下(摘录自说明文档):
1EXECUTE command-string [ INTO [STRICT] target ] [ USING expression [, ... ] ];
其中,
command-string就是要执行的动态SQL语句(一定要记住:这里是SQL语句,不是PL/pgSQL语句,像raise notice就不能使用);
INTO子句是把SQL查询到的值赋给INTO指定的变量;
USING子句是前面的command-string中替代变量($1, $2, ...)的赋值;
示例:
123456789do $$declarev_c1 integer;v_c2 integer;beginexecute 'select count(*) as c1, count(*) as c2 from (select 1 as idx union select 11 as idx union select 21 as idx) s where idx > $1' into v_c1, v_c2using 10;raise notice '%, %', v_c1, v_c2;