Java搭建小型博客系统教程详解

本文深入剖析了Java Web小型博客系统的安全与规范开发实践，强调不能仅依赖框架搭建，而必须从请求链路、数据边界和用户动作三个核心维度进行严格管控——摒弃Servlet堆砌与SQL拼接，强制采用PreparedStatement与分层DAO设计，JSP仅负责安全渲染并借助JSTL/c:out自动转义，session精简且启用HttpOnly，同时关闭目录浏览与调试模式，并遵循URL设计最佳实践；这些看似“繁琐”的约束，实则是避免系统在增删改查之外（如分页、分类筛选）瞬间崩塌、抵御SQL注入等安全风险的坚实防线。

Java Web 小型博客发布系统不是靠“搭个框架就完事”，而是得从请求链路、数据边界和用户动作三个层面控制住——否则很容易写成一堆 Servlet 堆砌，增删改查看似能跑，但加个分类筛选或分页就崩。

用 HttpServlet 处理增删改查，但别直接在 doPost 里拼 SQL

新手常把表单提交逻辑全塞进 doPost：取参数 → 拼 INSERT INTO ... → executeUpdate()。这会导致 SQL 注入风险、事务无法控制、后续难加校验。

• 所有数据库操作必须走 PreparedStatement，哪怕只是单条插入
• 把 DAO 层独立出来，比如 BlogDao.insert(Blog blog)，Blog 是带字段的 JavaBean，不是 Map
• 不要在 Servlet 中调用 System.out.println() 当日志，改用 log.info() 或至少写到 ServletContext.log()

protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws IOException {
    String title = req.getParameter("title");
    String content = req.getParameter("content");
    Blog blog = new Blog(title, content);
    try {
        new BlogDao().insert(blog); // 走 PreparedStatement，自动处理引号与转义
        resp.sendRedirect("list.jsp");
    } catch (SQLException e) {
        req.setAttribute("error", "保存失败：" + e.getMessage());
        req.getRequestDispatcher("edit.jsp").forward(req, resp);
    }
}

JSP 页面只做展示，禁止在 <% %> 里写业务逻辑

常见错误是把列表页写成：<% for (int i=0; i...<% } %>，更糟的是在里面调 new UserDao().findByName(...)。

• JSP 只负责渲染，数据必须由 Servlet 提前查好、存进 request.setAttribute("blogs", list)
• 循环一律用 JSTL：${b.title}，禁用脚本片段
• 日期、空值、HTML 特殊字符（如用户输入的