Legt man in der SQL-IDE eine Datenbank an, so kann man von Java-Programmen in der Online-IDE aus lesend und schreibend darauf zugreifen. Dies ist leider nicht von den Programmierkästen der Embedded-IDE aus möglich, daher lassen sich die Beispiele unten nicht direkt auf dieser Seite ausführen, sondern nur, wenn man sie in die Online-IDE kopiert und den Code „1Ts8qXH77X“ durch einen korrekten Datenbankzugriffscode aus der SQL-IDE ersetzt.
Dazu die Datenbank selektieren, dann Datenbank→Einstellungen auswählen. Dort - je nachdem, welche Rechte das Java-Programm bekommen soll - den Code zum „nur Lesen“, „Lesen und Schreiben“ oder „Lesen, schreiben und Struktur verändern“ durch Klick auf den Button „Kopieren“ in die Zwischenablage kopieren.
Zum Vorgehen:
Connection c = DatabaseManager.getConnection(„1Ts8qXH77X“);
ein Connection
-Objekt. Dieses repräsentiert die Verbindung zur Datenbank.Statement st = c.createStatement();
baut mit Hilfe dieser Datenbankverbindung ein Statement
-Objekt, das es ermöglicht, Anweisungen an die Datenbank zu senden.ResultSet rs = st.executeQuery(„select name from fluss where name = 'S%'“);
schickt nun die als Zeichenkette übergebene SQL-Anweisungen an die Datenbank. Diese führt die Anweisung aus, baut ein ResultSet
-Objekt und verschafft diesem Zugriff auf die Ergebnistabelle. Das ResultSet
-Objekt wird von der executeQuery
-Anweisung zurückgegeben.ResultSet
-Objekt kann nun die einzelnen Zeilen der Ergebnistabelle ( = „Datensätze“) holen. Dazu besitzt es einen „Zeiger“, der auf den aktuellen Datensatz zeigt. Anfangs zeigt er auf keinen Datensatz.ResultSet
-Objekts bewegt den „Zeiger“ jeweils eins weiter und gibt genau dann true
zurück, wenn das Ende der Tabelle noch nicht erreicht ist.getString(spaltenbezeichner)
, getInt(spaltenbezeichner)
usw. können nun die Zellinhalte des aktuellen Datensatzes geholt werden.
Beim Schreiben geht man vor wie beim Lesen, nur dass jetzt die Methode executeUpdate
des Statement-Objekts verwendet wird.
Spezialfall: auto_increment
Fügt man einer Tabelle mittels insert into…
einen Datensatz hinzu und besitzt diese einen Integer-Primärschlüssel, der automatisch vergeben wird (SQL-Schlüsselwort autoincrement
), so gibt die Anweisung executeUpdate
den automatisch vergebenen Primärschlüssel zurück. Ansonsten gibt sie den Wert 0
zurück.
Kommen Teile einer SQL-Anweisung von einer Benutzereingabe, z.B.
String name = Input.readString("Bitte geben Sie Ihren Namen ein"); String password = Input.readString("Bitte geben Sie Ihr Passwort ein"); String statement = "select * from user where name ='" + name + ' and password = '" + password + "'" ;
so kann ein Benutzer mittels SQL-Injection unberechtigt Daten abgreifen, in diesem Beispiel, indem er als Name eingibt: Barack Obama' and (' '= '
und als Passwort: test' or true) and ' ' = '
.
Dann wird aus dem Statement nämlich
SELECT * FROM USER WHERE name = 'Barack Obama' AND (' ' = ' ' AND password = 'test' OR TRUE) AND ' ' = ' '
Da and
stärker bindet als or
, ergibt der Wert des Terms in Klammern immer true
. Dadurch bekommt der Nutzer Zugriff auf den Datensatz von Barack Obama.
Ein gutes Mittel, um dies zu verhindern, sind Prepared Statements. Die Idee besteht darin, vom Benutzer eingegebene Bestandteile nicht durch Aneinanderhängen von Zeichenketten in eine SQL-Anweisung einzubauen, sondern als Parameterwert mit an die Datenbank zu übergeben. Die Datenbank behandelt diese Parameter dann wie Zeichenketten Werte. Diese dürfen beliebige Zeichen enthalten und werden nie als SQL-Schlüsselwörter interpretiert, sondern immer als Konstante.
Die Stellen, an denen in der SQL-Anweisung Parameterwerte eingefügt werden sollen, werden mit ?
gekennzeichnet, z.B.
String statement = """ select name from fluss where name like ? """; PreparedStatement st = c.prepareStatement(statement);
Mittels st.setString(index, value)
, st.setInt(index, value)
usw. können dann die Werte definiert werden, die statt der ?
eingefügt werden sollen. Der index
startet dabei ungewöhnlicherweise nicht bei 0
, sondern bei 1
. Mittels
st.setString(1, "Donau"); // Ersetzt den Wert des ersten Fragezeichens im statement
wird das erste ?
durch 'Donau'
ersetzt. Anschließend wird das Statement durch
ResultSet rs = st.executeQuery();
an die Datenbank geschickt. Natürlich gibt es auch st.executeUpdate()
für datenverändernde Anweisungen (insert
, update
, …).
Möchte man von Java aus viele gleichartige Statements hintereinander an die Datenbank schicken, z.B. zum Verändern von Daten, so bringen Prepared Statements nicht nur einen Sicherheitsgewinn, sondern auch einen Geschwindigkeitsvorteil: Man ruft PreparedStatement st = c.prepareStatement(statement);
nur ein Mal auf, gefolgt von vielen abwechselnden st.setString
und st.executeUpdate()
-Aufrufen. Das SQL-Statement wird von der Datenbank in diesem Fall nur ein einziges Mal kompiliert (beim Aufruf von prepareStatement
).