JSP如何删除数据库行？

在JSP中删除数据库记录需要结合Java代码和SQL操作，但需注意：直接在高耦合的JSP中写业务逻辑不符合MVC规范（实际项目推荐使用Servlet+DAO模式）,以下是安全实现的核心步骤：

完整操作流程（含安全防护）

1. 创建数据库连接
   使用连接池（如Tomcat JDBC Pool）避免资源泄露：

   <%@ page import="java.sql.*, javax.sql.DataSource, javax.naming.*" %>
   <%
   DataSource ds = null;
   Connection conn = null;
   PreparedStatement pstmt = null;
   try {
     Context ctx = new InitialContext();
     ds = (DataSource) ctx.lookup("java:comp/env/jdbc/YourDB"); // JNDI数据源
     conn = ds.getConnection();
   } catch (NamingException e) {
     e.printStackTrace();
   }
   %>

2. 接收参数并防御SQL注入
   用PreparedStatement替代Statement：

   <%
   String id = request.getParameter("id");
   if (id != null && !id.isEmpty()) {
     String sql = "DELETE FROM users WHERE user_id = ?"; // ?为占位符
     pstmt = conn.prepareStatement(sql);
     pstmt.setInt(1, Integer.parseInt(id)); // 类型安全转换
   %>

3. 执行删除并处理结果

   <%
     int rowsAffected = pstmt.executeUpdate();
     if (rowsAffected > 0) {
       out.print("删除成功！受影响行数：" + rowsAffected);
     } else {
       out.print("删除失败：记录不存在或参数错误");
     }
   } else {
     out.print("错误：ID参数为空");
   }
   %>

4. 关键：资源关闭与异常处理

   

   <%
   } catch (SQLException e) {
     e.printStackTrace();
     out.print("数据库错误：" + e.getMessage());
   } finally {
     if (pstmt != null) pstmt.close();
     if (conn != null) conn.close(); // 连接池中实际是归还连接
   }
   %>

安全强化措施

1. 输入验证
   添加正则校验防止非规ID：

   if (!id.matches("\d+")) {  // 只允许数字
     throw new IllegalArgumentException("非规ID格式");
   }

2. 事务控制（重要操作）

   conn.setAutoCommit(false);
   pstmt.executeUpdate();
   conn.commit();  // 成功提交

3. 权限隔离

   • 数据库用户分配最小权限（仅允许DELETE）
   • Web层过滤敏感请求（如只允许POST方法）

为什么避免在JSP中直接写逻辑？

1. MVC规范
   JSP应仅负责视图展示,删除操作应放在：

   • Servlet：接收请求、参数校验
   • DAO层：执行SQL（如Spring JDBC、MyBatis）
   • Service层：事务控制

2. 典型分层结构示例

   graph LR
   A[用户请求] --> B(Servlet)
   B --> C[Service业务层]
   C --> D[DAO数据层]
   D --> E[数据库]
   E --> D --> C --> B --> F[JSP显示结果]

备选方案推荐

1. 框架方案

   • Spring Boot + JPA：userRepository.deleteById(id);
   • MyBatis：<delete id="deleteUser">DELETE FROM users WHERE id=#{id}</delete>

2. 纯JSP替代方案
   通过<jsp:useBean>调用JavaBean（仍优于内嵌脚本）：

   <jsp:useBean id="dbBean" class="com.example.DBUtilBean" />
   <%
   int result = dbBean.deleteUser(request.getParameter("id"));
   %>

关键风险提示

1. 未授权访问
   必须增加会话验证：

   <%
   if (session.getAttribute("loginUser") == null) {
     response.sendRedirect("login.jsp");
     return;
   }
   %>

2. 数据备份

   • 执行前备份：CREATE TABLE backup AS SELECT * FROM users WHERE user_id=?
   • 开启Binlog（MySQL）或Archive Log（Oracle）

最佳实践总结：生产环境务必采用分层架构，JSP仅作为视图组件，紧急修复时可使用文中方案,但需严格限制参数校验和权限控制。

引用说明：

• JDBC规范参考：Oracle官方文档
• SQL注入防护：OWASP Cheat Sheet
• 连接池配置：Apache Tomcat 10连接池指南