Inhaltsverzeichnis

Datenbankverbindung

Legt man in der SQL-IDE eine Datenbank an, so kann man von Java-Programmen in der Online-IDE aus lesend und schreibend darauf zugreifen. Dies ist leider nicht von den Programmierkästen der Embedded-IDE aus möglich, daher lassen sich die Beispiele unten nicht direkt auf dieser Seite ausführen, sondern nur, wenn man sie in die Online-IDE kopiert und den Code „1Ts8qXH77X“ durch einen korrekten Datenbankzugriffscode aus der SQL-IDE ersetzt.

1. Schritt Verbindungscode in www.sql-ide.de besorgen

Dazu die Datenbank selektieren, dann Datenbank→Einstellungen auswählen. Dort - je nachdem, welche Rechte das Java-Programm bekommen soll - den Code zum „nur Lesen“, „Lesen und Schreiben“ oder „Lesen, schreiben und Struktur verändern“ durch Klick auf den Button „Kopieren“ in die Zwischenablage kopieren.

2. Daten aus der Datenbank lesen

Zum Vorgehen:

  • Zunächst holt man sich mit Connection c = DatabaseManager.getConnection(„1Ts8qXH77X“); ein Connection-Objekt. Dieses repräsentiert die Verbindung zur Datenbank.
  • Statement st = c.createStatement(); baut mit Hilfe dieser Datenbankverbindung ein Statement-Objekt, das es ermöglicht, Anweisungen an die Datenbank zu senden.
  • ResultSet rs = st.executeQuery(„select name from fluss where name = 'S%'“); schickt nun die als Zeichenkette übergebene SQL-Anweisungen an die Datenbank. Diese führt die Anweisung aus, baut ein ResultSet-Objekt und verschafft diesem Zugriff auf die Ergebnistabelle. Das ResultSet-Objekt wird von der executeQuery-Anweisung zurückgegeben.
  • Das ResultSet-Objekt kann nun die einzelnen Zeilen der Ergebnistabelle ( = „Datensätze“) holen. Dazu besitzt es einen „Zeiger“, der auf den aktuellen Datensatz zeigt. Anfangs zeigt er auf keinen Datensatz.
  • Die Methode „next()“ des ResultSet-Objekts bewegt den „Zeiger“ jeweils eins weiter und gibt genau dann true zurück, wenn das Ende der Tabelle noch nicht erreicht ist.
  • Mit den Methoden getString(spaltenbezeichner), getInt(spaltenbezeichner) usw. können nun die Zellinhalte des aktuellen Datensatzes geholt werden.

3. Daten in die Datenbank schreiben

Beim Schreiben geht man vor wie beim Lesen, nur dass jetzt die Methode executeUpdate des Statement-Objekts verwendet wird.

Spezialfall: auto_increment
Fügt man einer Tabelle mittels insert into… einen Datensatz hinzu und besitzt diese einen Integer-Primärschlüssel, der automatisch vergeben wird (SQL-Schlüsselwort autoincrement), so gibt die Anweisung executeUpdate den automatisch vergebenen Primärschlüssel zurück. Ansonsten gibt sie den Wert 0 zurück.

Schreibender Zugriff mit prepared statement:

4. Prepared Statements

Kommen Teile einer SQL-Anweisung von einer Benutzereingabe, z.B.

String name = Input.readString("Bitte geben Sie Ihren Namen ein");
String password = Input.readString("Bitte geben Sie Ihr Passwort ein");
String statement = "select * from user where name ='" + name + ' and password = '" + password + "'" ;

so kann ein Benutzer mittels SQL-Injection unberechtigt Daten abgreifen, in diesem Beispiel, indem er als Name eingibt: Barack Obama' and (' '= ' und als Passwort: test' or true) and ' ' = ' .
Dann wird aus dem Statement nämlich

SELECT * FROM USER WHERE name = 'Barack Obama' AND (' ' = ' ' AND password = 'test' OR TRUE) AND ' ' = ' '

Da and stärker bindet als or, ergibt der Wert des Terms in Klammern immer true. Dadurch bekommt der Nutzer Zugriff auf den Datensatz von Barack Obama.

Ein gutes Mittel, um dies zu verhindern, sind Prepared Statements. Die Idee besteht darin, vom Benutzer eingegebene Bestandteile nicht durch Aneinanderhängen von Zeichenketten in eine SQL-Anweisung einzubauen, sondern als Parameterwert mit an die Datenbank zu übergeben. Die Datenbank behandelt diese Parameter dann wie Zeichenketten Werte. Diese dürfen beliebige Zeichen enthalten und werden nie als SQL-Schlüsselwörter interpretiert, sondern immer als Konstante.

Die Stellen, an denen in der SQL-Anweisung Parameterwerte eingefügt werden sollen, werden mit ? gekennzeichnet, z.B.

String statement = """
select name from fluss 
where name like ?
""";
 
PreparedStatement st = c.prepareStatement(statement);

Mittels st.setString(index, value), st.setInt(index, value) usw. können dann die Werte definiert werden, die statt der ? eingefügt werden sollen. Der index startet dabei ungewöhnlicherweise nicht bei 0, sondern bei 1. Mittels

st.setString(1, "Donau");   // Ersetzt den Wert des ersten Fragezeichens im statement

wird das erste ? durch 'Donau' ersetzt. Anschließend wird das Statement durch

ResultSet rs = st.executeQuery();

an die Datenbank geschickt. Natürlich gibt es auch st.executeUpdate() für datenverändernde Anweisungen (insert, update, …).

Möchte man von Java aus viele gleichartige Statements hintereinander an die Datenbank schicken, z.B. zum Verändern von Daten, so bringen Prepared Statements nicht nur einen Sicherheitsgewinn, sondern auch einen Geschwindigkeitsvorteil: Man ruft PreparedStatement st = c.prepareStatement(statement); nur ein Mal auf, gefolgt von vielen abwechselnden st.setString und st.executeUpdate()-Aufrufen. Das SQL-Statement wird von der Datenbank in diesem Fall nur ein einziges Mal kompiliert (beim Aufruf von prepareStatement).