评论数据存MySQL的comment表,含id、post_id(建索引)、author_name、email、content(TEXT)、create_time;后端用Servlet+JDBC,校验+PreparedStatement防注入;前端转义HTML防XSS。
评论数据怎么存:用 MySQL 表结构定好边界
别一上来就写 Servlet,先想清楚数据要怎么落盘。小型博客评论系统最核心就是 comment 表,字段必须精简但够用:
-
id(主键,BIGINT AUTO_INCREMENT) -
post_id(关联博客文章,BIGINT NOT NULL,加索引) -
author_name(VARCHAR(50),不强制登录就留前台填) -
email(VARCHAR(100),可选,用于简单防 spam) -
content(TEXT,别用VARCHAR存长文本) -
create_time(DATETIME DEFAULT CURRENT_TIMESTAMP)
注意:post_id 必须建索引,否则按文章查评论时会全表扫描;content 别设长度限制,用户贴代码或长感想会直接被截断。
后端怎么接:Servlet + JDBC 最简可行路径
不用 Spring Boot,就用原生 JavaWeb,重点是把请求、校验、入库三步串通。关键点不在“炫技”,而在“不出错”:
- POST 提交评论时,用
request.getParameter("content")取值,立刻做非空和长度校验(比如content.trim().length() 2000) - 插入前必须用
PreparedStatement,防止 SQL 注入 —— 千万别拼字符串:"INSERT INTO comment VALUES ('" + content + "')"是高危写法 - 插入成功后,用
response.sendRedirect("post.jsp?id=" + postId)跳转,避免刷新重复提交 - 查评论列表时,SQL 写成
SELECT * FROM comment WHERE post_id = ? ORDER BY create_time DESC LIMIT 50,加LIMIT防拖垮数据库
String sql = "INSERT INTO comment (post_id, author_name, email, content) VALUES (?, ?, ?, ?)";
try (PreparedStatement ps = conn.prepareStatement(sql)) {
ps.setLong(1, postId);
ps.setString(2, name);
ps.setString(3, email);
ps.setString(4, content.trim());
ps.executeUpdate();
}
前端怎么防:基础 XSS 和重复提交不能省
JSP 或 HTML 页面不是摆设,几个小动作能拦住大部分乱输入:
立即学习“Java免费学习笔记(深入)”;
- 展示评论内容时,用
StringEscapeUtils.escapeHtml4(content)(Apache Commons Text)或手动替换:content.replace("&", "&").replace(",否则用户输就执行了 - 提交按钮加 JS 禁用:
document.getElementById("submitBtn").disabled = true;,防止手抖连点 - 表单加
th:action或普通action指向明确的 Servlet URL,别靠 JS fetch 乱发 —— 初级项目优先保流程完整,不追异步体验
部署时卡在哪:MySQL 时区和 Tomcat 编码最容易漏
本地跑得好,扔到服务器上时间变错、中文变问号?大概率是这两个地方没调:
- MySQL 连接 URL 加时区参数:
jdbc:mysql://localhost:3306/blog?serverTimezone=Asia/Shanghai&characterEncoding=utf8,缺serverTimezone会导致create_time差 8 小时 - Tomcat 的
conf/server.xml中Connector标签补上URIEncoding="UTF-8",不然 GET 请求里的中文参数(如搜索词)会乱码 - JSP 页面顶部加
,三处 UTF-8 对齐才真正安全
这些配置项不报错,但数据一动就歪 —— 尤其时间字段和中文内容,出问题时很难联想是环境配置导致的。
