безопасно ли получить java.sql.connection к серверу формы страницы jsp

Question

Я создал сервлет с именем dbConnect (тип возврата Connection). В котором я написал код для подключения к базе данных. Теперь я вызываю dbConnect (<% Connection con = dbConnect.getConnection ()%>) в файл JSP . Поскольку файл JSP будет на стороне клиента, есть ли вероятность, что хакер сможет взломать соединение ??

Answer 1

Больший вопрос в том, стоит ли это делать.

Я бы предпочел нет кода скриптлета в JSP вообще.Если вам нужно написать JSP, я бы порекомендовал использовать теги JSTL и сервлет для обработки запросов.Пусть сервлет находится между JSP и базой данных и от ее имени вступает в контакт с базой данных.Вы можете выполнить аутентификацию, проверку входных данных, привязку и маршрутизацию в сервлете и позволить JSP делать то, для чего он предназначен: отображать только .

Если этот JSP предназначен для чего-либо другогочем одно игрушечное приложение, я бы порекомендовал вам покопаться в MVC модели-2 с использованием JSP и сервлетов.

Answer 2

JSP-файлы не на стороне клиента. JSP компилируется в сервлет, поэтому все, что вы чувствуете в безопасности, делая в сервлете, так же безопасно на странице JSP. Этот фрагмент кода внутри <%%> превращается в простой старый код Java. Ваш HTML превращается в строку, которая выплевывается из сервлета обратно к клиенту.

Так что да, все в порядке.