Tecnologie Web T Accesso Diretto alle Basi di Dati: Interfacce e Astrazioni

Transcript

1 Tecnologie Web T Accesso Diretto alle Basi di Dati: Interfacce e Astrazioni Home Page del corso: Versione elettronica: 4.01.AccessoDB.pdf Versione elettronica: 4.01.AccessoDB-2p.pdf 1 un piccolo passo indietro Modello frequente in applicazioni enterprise Presentation Livello di presentazione si occupa della visualizzazione dei risultati generati secondo il percorso definito nel flusso sottostante Business Flows A questo livello vengono implementati i flussi delle diverse conversazioni che interagiscono per comporre una applicazione Business Logic La logica di business contiene le caratteristiche delle applicazioni e dipende sia dal modello dei dati che, ancora più rilevante, dalle logiche di utilizzo degli stessi Services I servizi devono fornire tutte le funzionalità base (API) necessarie per l implementazione rapida ed efficace della logica di business, dalla gestione della concorrenza al supporto alle transazioni, dall interfacciamento ai DB al monitoraggio/controllo/gestione delle performance 2

2 Gestione della persistenza Una parte rilevante degli sforzi nello sviluppo di ogni applicazione distribuita di livello enterprise si concentra sul layer di persistenza Accesso, manipolazione e gestione di dati persistenti, tipicamente mantenuti in un DB relazionale Il mapping Object/Relational si occupa di risolvere il potenziale mismatch fra dati mantenuti in un DB relazionale (table-driven) e il loro processamento fatto da oggetti in esecuzione DB relazionali sono progettati per operazioni di query efficienti su dati di tipo tabellare Necessità di lavorare invece tramite interazione fra oggetti 3 ancora un piccolo passo indietro Come accedere ai dati di un DB? Dal Corso di Sistemi Informativi T, sappiamo che è possibile mediante istruzioni SQL eseguite interattivamente 4

3 Accesso diretto alle basi di dati (1/2) È anche possibile (ed è di gran lunga l accesso a DB più tipico) inserire istruzioni SQL direttamente nel codice di un applicazione scritta in un linguaggio di programmazione ospite (ad es. C, C++, Java, C#) Esempio Java - JDBC: System.out.println("Retrieve some data from the database.."); Statement stmt = con.createstatement(); ResultSet rs = stmt.executequery("select * FROM EMPLOYEE"); // display the result set while (rs.next()) { String number = rs.getstring(1); String name = rs.getstring(2); System.out.print(" empno= " + number); System.out.print(" firstname= " + name); System.out.print("\n"); } rs.close(); stmt.close(); 5 Accesso diretto alle basi di dati (2/2) Il problema da risolvere è relativo all integrazione tra i comandi SQL, i quali sono responsabili di realizzare l accesso al DB, e le normali istruzioni del linguaggio di programmazione Due soluzioni possibili: SQL Embedded o incastonamento : SQL viene integrato direttamente all interno del normale linguaggio di programmazione Es. di soluzione sono i cursori e SQL dinamico Call Level Interface (CLI): l integrazione con SQL avviene tramite l invocazione di una opportuna libreria di funzioni Es. di soluzione sono ODBC, OLE DB, ADO e JDBC 6

4 SQL Embedded L incastonamento prevede di introdurre direttamente nel programma sorgente le istruzioni SQL distinguendole dalle normali istruzioni tramite un opportuno separatore Lo standard SQL prevede che il codice SQL sia preceduto dalla stringa exec sql e termini con il carattere '; Preprocessore che espande i comandi SQL Cursori: strumento che permette a un programma di accedere alle righe di una tabella una alla volta; viene definito su una generica interrogazione SQL dinamico: permette all applicazione di definire al momento dell esecuzione le interrogazioni SQL da effettuare sulla base di dati Valore dei parametri (per istruzioni con struttura predefinita) Forma delle interrogazioni 7 Call Level Interface Mette direttamente a disposizione del programmatore una libreria di funzioni che permettono di interagire con un DBMS Rispetto a SQL Embedded, CLI rappresenta uno strumento più flessibile e meglio integrato con il linguaggio di programmazione anche se occorre gestire esplicitamente aspetti che con SQL Embedded sono demandati direttamente al preprocessore 8

5 Modo d uso generale CLI Una applicazione che accede (in lettura e/o scrittura) ad una sorgente di dati ha bisogno di fare le seguenti operazioni: 1. aprire una connessione alla sorgente dati 2. inviare attraverso la connessione istruzioni (di interrogazione e aggiornamento) alla sorgente dati 3. processare i risultati ricevuti dalla sorgente dati in risposta alle istruzioni inviate Le nostre sorgenti dati sono DB relazionali, gestiti da un DBMS a scelta tra DB2 (consigliato), MySQL, Hsqldb Ogni DBMS espone una API (Application Program Interface) Le applicazioni, per noi Java, interagiscono con le API del DBMS attraverso un driver 9 Soluzioni CLI Piattaforma software Microsoft ODBC (Object DataBase Connectivity ): interfaccia standard che permette di accedere a DB in qualunque contesto, realizzando interoperabilità con diverse combinazioni DBMS-Piattaforma-Reti OLE DB (Object Linking and Embedding for DataBases): soluzione proprietaria Microsoft che permette ad applicazioni Windows di accedere a sorgenti dati generiche, non solo relazionali ma anche a una vasta tipologia di archivi dati, quali caselle di posta elettronica; basata sul modello a oggetti COM ADO (ActiveX Data Object): interfaccia proprietaria Microsoft di alto livello ai sevizi offerti da OLE DB basata su una interfaccia record(tupla)-oriented JDBC Soluzione per l accesso ai dati in Java sviluppata da Sun Microsystem; controparte di ODBC per Java 10

6 Diverse soluzioni a confronto Nome Descrizione Pro :) Contro :( SQL Embedded Le istruzione SQL sono introdotte direttamente all interno del listato programma, distinte da un separatore (exec sql <istruzione> ;) Cursori per gestire risultati composti da più tuple; SQL dinamico per ottenere flessibilità Necessità di un preprocessore e di un supporto DBMS-piattaformalinguaggio-compilatore OLE DB/ ADO Soluzione proprietaria Microsoft che consente, grazie all uso di driver specifici, di interfacciare il linguaggio di programmazione con il DBMS Integrato in Windows; Driver offerti dai maggiori produttori di DBMS; Interfacciamento con altri tipi di dato (documenti, mailbox, ecc.) Dialetto SQL ristretto; Proprietario; Utilizzato solo su linguaggi e su piattaforme Microsoft JDBC Interfaccia fra il mondo Java ed i diversi DBMS. Utilizza dei driver specifici ma offre anche un ponte con ODBC (non è vero l inverso) Java, multipiattaforma, codice aperto; Disponibile per qualsiasi DBMS grazie anche al ponte ODBC Come ODBC richiede la disponibilità di un driver offerto dal DBMS 11 ODBC Acronimo di Open Database Connectivity API standard definita da Microsoft nel 1992 Permette l accesso a dati residenti in DB relazionali in un contesto eterogeneo e distribuito Es. DBMS: Access, MySQL, DB2, Oracle, Hsqldb, Permette ai programmatori di formulare richieste SQL che accederanno a dati relativi a DB distinti senza dover conoscere le interfacce proprietarie di ogni singolo DB Gestisce richieste SQL convertendole in un formato comprensibile al particolare DBMS 12

7 Architettura ODBC Application ODBC Driver Manager ODBC Driver (DBMS/OS/network) Data Source 13 JDBC API Java standard definita da Sun Microsystems nel 1996 Sun assicura che JDBC NON è acronimo di Java Database Connectivity ma è un semplice marchio registrato!! Rappresenta la controparte Java di ODBC Permette di accedere ai database (locali e remoti) in modo uniforme Garantisce accesso ai database in modo indipendente dalla piattaforma I driver JDBC sono collezioni di classi Java che implementano metodi definiti dalle specifiche JDBC Le classi Java che realizzano funzionalità JDBC sono contenute nei package java.sql: classi fondamentali javax.sql: estensioni 14

8 JDBC vs ODBC ODBC non è appropriato per un uso diretto dal linguaggio Java perché usa interfacce scritte in linguaggio C Una traduzione da API C ODBC a API Java non è raccomandata Una API Java come JDBC è necessaria per permettere una soluzione Java pura JDBC è normalmente utilizzato da programmatori Java per connettersi a DB relazionali Attraverso un piccolo programma bridge è possibile usare l interfaccia JDBC per accedere a DB accessibili via ODBC 15 Storia di JDBC Prima distribuzione (jdbc.sql) JDBC fa parte del pacchetto software JDK a partire dalla versione 1.1 (pakage java.sql) Con Java 2, è stato introdotto JDBC 2.0: Migliorate le funzionalità e i tipi di dato disponibili Offerto come package opzionale per funzionalità estese Java SE 8 include JDBC

9 Architettura JDBC Java Application utilizza le interfacce java.sql e javax.sql JDBC Driver Manager Type 2 Type 1 Type 4 Type 3 implementano java.sql e, in alcuni casi javax.sql JDBC/Native Bridge JDBC/ODBC Bridge All Java JDBC Driver All Java JDBC/Net Bridge Native Driver (DBMS specific) ODBC Driver Network Server DBMS data source 17 JDBC Driver Manager Rappresenta il livello di gestione di JDBC e opera tra l utente e i driver Tiene traccia dei driver disponibili e gestisce la creazione di una connessione tra un DB e il driver appropriato 18

10 Driver JDBC JDBC è un insieme di interfacce; per usare un interfaccia è necessario fornire un implementazione per tutti i metodi che la compongono L insieme delle classi Java che implementano le interfacce JDBC rappresentano un modulo software chiamato driver JDBC Ogni DBMS ha il proprio driver rilasciato dal produttore o sviluppato da terze parti Sono i driver che realizzano la vera comunicazione con il DB 19 Tipi di driver (1/2) Sono di quattro tipi e possono essere suddivisi in due categorie: 2-tier: client colloquiano direttamente con DB 3-tier: client comunicano con un middle-tier che accede al DB 20

11 Tipi di driver (2/2) Modello 3-tier: affinché l applicazione possa interagire con il DB occorre che le chiamate JDBC siano convertite in chiamate API native (caso JDBC/native bridge) o in chiamate ODBC (caso JDBC/ODBC bridge) L utente può utilizzare una API di alto livello (di più semplice utilizzo) che viene tradotta dal driver in chiamate di basso livello Non è realmente portabile in quanto richiede l utilizzo di componenti nativi (specifici dell ambiente in cui vengono eseguiti) Modello 2-tier: l applicazione interagisce direttamente con il DB mediante un opportuno protocollo di rete, per es. TCP/IP (caso driver JDBC middleware, detto anche Net- Driver), oppure mediante un protocollo di rete proprietario (caso driver JDBC Driver) Si appoggia su un ambiente completamente Java 21 Tipi di driver a confronto Tipo 1: Ponte JDBC-ODBC Driver prestazioni scadenti non indipendente dalla piattaforma fornito a corredo di JDK Tipo 2: Ponte JDBC-Native Driver migliori prestazioni non indipendente dalla piattaforma Tipo 3: Driver Java Puro per Accesso a DB via Middleware client indipendente dalla piattaforma servizi avanzati (caching) architettura complessa Tipo 4: Driver Java Puro per Accesso Diretto a DB client indipendente dalla piattaforma buone prestazioni Per approfondimenti: 22

12 Schema di uso di JDBC Accesso a DB con JDBC consiste nel: Caricare la classe del driver JDBC Ottenere una connessione dal driver Eseguire statement SQL Utilizzare risultati delle query Chiudere la connessione e rilasciare strutture dati utilizzate per la gestione del dialogo con il DB Class.forName( com.ibm.db2.jcc.db2driver").newinstance(); Connection conn = DriverManager.getConnection("jdbc:db2:MYDB"); Statement stm = conn.createstatement(); ResultSet res = stm.executequery("select * FROM MYTABLE"); while (res.next()) { String col1 = res.getstring("mycol1"); int col2 = res.getint("mycol2"); } 23 Interfacce e calssi JDBC L API JDBC 4.x core mette a disposizione più di 20 tra interfacce e classi Alcune fra le più importanti sono Driver DriverManager Connection Statement ResultSet 24

13 Interfaccia Driver (1/2) Rappresenta il punto di partenza per ottenere una connessione a un DBMS I produttori di driver JDBC implementano l interfaccia Driver (mediante opportuna classe) affinché possa funzionare con un tipo particolare di DBMS La classe che implementa Driver può essere considerata la factory per altri oggetti JDBC ad esempio, oggetti di tipo Connection Ad esempio, IBM nel suo Driver Java Puro implementa l interfaccia Driver mediante la classe: com.ibm.db2.jcc.db2driver 25 Interfaccia Driver (2/2) È possibile ottenere un istanza effettiva della classe Driver ricercando la classe con il metodoforname: Driver d = Class.forName( com.ibm.db2.jcc.db2driver )..newinstance(); Avendo a disposizione un oggetto Driver è possibile ottenere la connessione al database Ogni driver JDBC ha una stringa di connessione che riconosce nella forma: jdbc:product_name:database_alias dove database_alias specifica il DB a cui connettersi nel caso specifico della configurazione DB2 in LAB4: jdbc:db2://diva.disi.unibo.it:50000/[sample tw_stud] 26

14 Classe DriverManager Facilita la gestione di oggetti di tipo Driver Quando un oggetto Driver viene istanziato, esso viene automaticamente registrato nella classe DriverManager Ogni applicazione può registrare uno o più driver JDBC diversi tra loro Consente la connessione con il DBMS sottostante Mediante il metodo statico getconnection Usa il driver opportuno tra quelli registrati 27 Interfaccia Connection Un oggetto di tipo Connection rappresenta una connessione attiva con il DB Il metodo getconnection didrivermanager, se non fallisce, restituisce un oggetto di tipo Connection L interfaccia mette a disposizione una serie di metodi per le operazioni, tra le quali: Preparazione di query SQL da inviare tramite oggetti Statement PreparedStatement CallableStatement 28

15 Interfaccia Statement Gli oggetti di tipo Statement possono essere usati per inviare query SQL semplici verso il DBMS sottostante query che non fanno uso di parametri La query può essere di modifica UPDATE, INSERT, CREATE oppure di selezione SELECT Per query di tipo SELECT il risultato è inserito in un oggettoresultset Un oggetto Statement può essere creato con il metodo createstatement diconnection 29 Interfaccia PreparedStatement Gli oggetti di tipo PreparedStatement possono essere usati per creare query SQL parametriche (parametri di tipo IN) e precompilate ( prepared ) Il valore di ciascun parametro non è specificato nel momento in cui lo statement SQL è definito, ma rimpiazzato dal carattere? È più efficiente perché una volta che la query è preparata, sarà pre-compilata per usi futuri Un oggetto PreparedStatement può essere creato con il metodo preparestatement di Connection 30

16 Interfaccia CallableStatement Gli oggetti di tipo CallableStatement possono essere usati per definire query parametriche con parametri di tipo IN, OUT e INOUT Permettono di eseguire una invocazione a una stored procedure memorizzata sul server DB Un oggetto CallableStatement può essere creato con il metodo preparecall di Connection 31 Interfaccia ResultSet L oggetto ResultSet è il risultato di una query di selezione (SELECT) Rappresenta una tabella composta da righe (gli elementi selezionati) e colonne (gli attributi richiesti) Nella versione 1.x di JDBC era possibile accedere a un ResultSet obbligatoriamente dal primo elemento all ultimo e una sola volta Da JDBC 4.x si può accedere in modo casuale alle righe, inserirle, cancellarle e modificarle 32

17 JDBC e DB2 DB2 prevede 2 driver JDBC di tipo two-tier: 1. Net-Driver: com.ibm.db2.jcc.db2driver 2. Driver Java puro : com.ibm.db2.jcc.db2driver entrambi contenuti nel file db2jcc.jar (direttorio C:\Programmi\IBM\SQLLIB\java della macchina client del laboratorio) Il Net-Driver serve per connettersi via rete (ad esempio, mediante il protocollo di rete TCP/IP) a server remoti è un driver universale, ovvero indipendente dalla piattaforma a condizione che questi abbiano attivo il servizio DB2 Jdbc Applet Server Il Driver Java puro permette di connettersi ad istanze DB2 residenti sulla macchina locale o catalogate localmente 33 Programmare un applicazione JDBC Passi principali: 1. Importazione package 2. Registrazione driver JDBC 3. Apertura connessione al DB (Connection) 4. Creazione oggetto Statement 5. Esecuzione query e eventuale restituzione oggetto ResultSet 6. Utilizzo risultati 7. Chiusura oggetto/i ResultSet e oggetto/i Statement 8. Chiusura connessione 34

18 1: Importazione package // Questo programma mostra un *semplice esempio* di // applicazione Java (Esempio.java) in grado di eseguire // interrogazioni/aggiornamenti sul database DB2 SAMPLE // utilizzando JDBC //importazione package import java.sql.*; //package JDBC 35 2: Registrazione driver JDBC class Esempio { public static void main(string argv[]) { try { // caricamento e registrazione driver Class.forName( com.ibm.db2.jcc.db2driver").newinstance(); 36

19 3: Apertura connessione DB Connection con = null; // URL jdbc:db2:database_alias String url = "jdbc:db2://diva.disi.unibo.it:50000/sample"; if (argv.length == 2) { String userid = argv[0]; String passwd = argv[1]; // connessione con id/passwd forniti dall utente con = DriverManager.getConnection(url, userid, passwd); } else { System.out.println("\nUsage: java Esempio username password\n"); System.exit(0); } Creazione oggetto Statement // interrogazione table EMPLOYEE System.out.println("Retrieve some data from the database"); Statement stmt = con.createstatement(); 38

20 5. Esecuzione query 6. Utilizzo oggetto ResultSet // esegue la query ResultSet rs = stmt.executequery("select * FROM DB2INST1.EMPLOYEE"); System.out.println("Received results:"); // mostra i risultati // rs.next() = false se non ci sono più righe risultato while (rs.next()) { String number = rs.getstring(1); String name = rs.getstring(2); System.out.print(" empno= " + number); System.out.print(" firstname= " + name); System.out.print("\n"); } Chiusura oggetti ResultSet e Statement // chiude ResultSet e Statement rs.close(); stmt.close(); // Esecuzione di altre istruzioni SQL // aggiorna il database prova ad aggiornarlo! System.out.println("\n\nUpdate the database... "); stmt = con.createstatement(); int rowsupdated = stmt.executeupdate("update DB2INST1.EMPLOYEE SET firstname = 'SHILI WHERE empno = '000010'"); System.out.print("Changed "+rowsupdated); if (1 == rowsupdated) System.out.println(" row."); else System.out.println(" rows."); stmt.close(); // chiude Statement 40

21 8. Chiusura connessione // chiude Connection con.close(); } // try catch( Exception e ) { e.printstacktrace(); } } // main } // classe Scopo di questo semplice esempio didattico è solo quello di evidenziare l uso di base delle API JDBC Come vedremo meglio in laboratorio connessione, statement, resultset devono essere sempre chiusi dopo essere stati usati (rilasciamo risorse!!) Per aver questa garanzia, effettuiamo queste operazioni sempre nella clausola finally Ogni metodo JDBC lancia una eccezione; tali eccezioni possono essere gestite rilanciando una eccezione di livello logico opportuno 41 Oggetto Statement Un oggetto Statement fornisce tre metodi per eseguire una query SQL: (StatementObj.)executeQuery(stmt SQL), per statement che generano un unico result set (SELECT) (StatementObj.) executeupdate(stmt SQL), per statement di modifica (UPDATE, INSERT, ecc.) (StatementObj.) execute(stmt SQL), per statement che generano più di un risultato o più di un contatore di aggiornamento 42

22 executequery Usato tipicamente per query di tipo SELECT Restituisce un oggetto ResultSet 43 executeupdate Usato per statement di tipo DML quali INSERT, UPDATE o DELETE e per statement di tipo DDL quali CREATE TABLE e DROP TABLE Restituisce un intero rappresentante il numero di righe che sono state inserite/aggiornate/cancellate contatore di aggiornamento In caso di statement di tipo DDL, restituisce sempre il valore 0 44

23 execute Usato quando la query restituisce più di un risultato o più di un contatore di aggiornamento Utilizza i seguenti metodi: (StatementObj.) getresultset() per ottenere il result set successivo (StatementObj.) getupdatecount() per ottenere il contatore di aggiornamento successivo (StatementObj.) getmoreresults() per sapere se ci sono altri result set o contatori di aggiornamento Restituisce true se il primo risultato è di tipo ResultSet; false se il risultato è di tipo Count o non ci sono più risultati 45 Oggetto ResultSet Un oggetto ResultSet contiene il risultato di una query SQL (cioè una tabella) Un oggetto ResultSet mantiene un cursore alla riga corrente Per ottenere un valore relativo alla riga corrente: (ResultSetObj.) getxxx(column-name) (ResultSetObj.) getxxx(column-number) Per spostare il cursore dalla riga corrente a quella successiva: (ResultSetObj.) next() (restituisce true in caso di successo; false se non ci sono più righe nell insieme risultato) 46

24 I metodi getxxx Permettono la lettura degli attributi di una tabella getbyte getshort getint getlong getfloat getdouble getbigdecimal getboolean getstring getbytes getdate gettime gettimestamp getasciistream getunicodestream getbinarystream getobject 47 Controllo sui valori NULL I valori NULL SQL sono convertiti in null, 0, o false, dipendentemente dal tipo di metodo getxxx Per determinare se un particolare valore di un risultato corrisponde a NULL in JDBC: Si legge la colonna Si usa il metodo (ResultSetObject.) wasnull() 48

25 Controllo sui tipi di dato Il dialogo tra una applicazione Java e i DB sottostanti richiede che i tipi di dato SQL siano mappati in corrispondenti tipi di dato Java e viceversa. La conversione (SQL2Java) riguarda tre categorie: Tipi SQL che hanno diretti equivalenti in Java (es. il tipo SQL INTEGER è equivalente al tipo Java int) Tipi SQL che possono essere convertiti negli equivalenti tipi Java (es. i tipi SQL CHAR e VARCHAR possono essere convertiti nel tipo Java String) Tipi SQL che sono unici (una minoranza) e che necessitano la creazione di uno speciale oggetto Java (es. il tipo SQL DATE si converte nell oggetto Date definito dall omonima classe Java) 49 Mapping SQL2Java SQL type Java Type SQL Type Java Type CHAR String BIGINT long VARCHAR String REAL float LONGVAR CHAR String FLOAT DOUBLE double double NUMERIC java.math.big Decimal BINARY VARBINARY byte[] byte[] DECIMAL java.math.big Decimal LONGVAR BINARY byte[] BIT boolean DATE java.sql.date TINYINT byte TIME java.sql.time SMALLINT INTEGER short int TIMESTAMP java.sql.time stamp 50

26 Oggetto PreparedStatement Usato quando la query SQL prende uno o più parametri come input, o quando una query semplice deve essere eseguita più volte L interfaccia PreparedStatement estende l interfaccia Statement ereditandone tutte le funzionalità. In più sono presenti metodi per la gestione dei parametri L oggetto viene creato con l istruzione Connection.prepareStatement(stmt SQL) I parametri vengono poi settati mediante il metodo (StatementObj.) setxxx(n,value) La query pre-compilata viene eseguita mediante i metodi executequery(), executeupdate()oexecute() senza bisogno di passare alcun parametro!! 51 PreparedStatement: Esempio I parametri sono specificati con? Esempio: PreparedStatement ps = con.preparestatement( "UPDATE MyTable SET a =? WHERE b =?"); Per istanziare i parametri? (necessariamente prima dell esecuzione): ps.setint(1, 20); ps.setint(2,100); Per eseguire lo statement: int res = ps.executeupdate(); 52

27 I metodi setxxx Permettono l assegnamento dei parametri di uno statement SQL setbyte setshort setint setlong setfloat setdouble setbigdecimal setboolean setnull setstring setbytes setdate settime settimestamp setasciistream setunicodestream setbinarystream setobject 53 Mapping Java2SQL Java Type SQL type Java Type SQL type String VARCHAR or LONG- VARCHAR float double REAL DOUBLE java.math. BigDecimal NUMERIC byte[] VARBINARY or LONGVARBINARY boolean BIT java.sql.date DATE byte short TINYINT SMALLINT java.sql.time TIME int long INTEGER BIGINT java.sql.timestamp TIMESTAMP 54

28 Il problema dell SQL injection Cosa succede se, data una query con parametri di input dell utente (es. tramite interfaccia Web), questi ha la possibilità di agire direttamente sul valore dell input di tipo stringa (oggetto String), aggiungendo, ad esempio, apici e altre istruzioni di controllo?? Può inserire istruzioni arbitrarie che verranno eseguite dal DBMS!!! Esempio: Statement = SELECT * FROM users WHERE name = + username + ; con la variabile username assegnata al valore: a ;DROP TABLES users; 55 SQL injection È una tecnica che sfrutta la vulnerabilità a livello di sicurezza dello strato DB di una applicazione Tale vulnerabilità è presente quando i dati di input dell utente sono: Filtrati in modo incorretto per la verifica di caratteri literal escape nelle stringhe Non sono fortemente tipizzati e/o controllati i vincoli di tipo SQL injection in quanto l'utente può iniettare statement SQL arbitrari con risultati catastrofici: divulgazione di dati sensibili o esecuzione di codice Per proteggere le nostre applicazioni dall SQL injection, i dati di input dell utente NON devono essere direttamente incastonati all interno di Statement SQL 56

29 Prevenire SQL injection A prevenzione del problema, l interfaccia PreparedStatement permette di gestire in modo corretto anche l inserimenti di dati ostili Statement parametrizzati che permettono di lavorare con parametri (o variabili bind) invece che di incastonare i dati di input dell utente direttamente nello statement SQL statement è fisso i dati di input dell utente sono assegnati ai parametri (binding) mediante l invocazione dei metodi setxxx(n,value) 57 La storia del piccolo Bobby Tables (From the comic strip xkcd) School: "Hi, this is your son's school. We're having some computer trouble." Mom: "Oh, dear -- Did he break something?" School: "In a way. Did you really name your son Robert'); DROP TABLE Students;--?" Mom: "Oh. Yes. Little Bobby Tables we call him." School: "Well, we've lost this year's student records. I hope you're happy." Mom: "And I hope you've learned to sanitize your database inputs." (Alt-text: "Her daughter is named Help I'm trapped in a driver's license factory.") C è solo un modo per evitare attacchi di tipo Bobby Tables Non creare mai statement SQL che includono dati di input utente Usare sempre chiamate SQL parametrizzate (PreparedStatement) 58

30 Riferimenti Sito Sun - The Java Tutorial /index.html Sito Sun Java SE - Java Database Connectivity (JDBC) base/index.jsp Per la documentazione relativa ai pakage java.sql e javax.sql, fare riferimento a Java2Docs Atzeni, Ceri, Paraboschi, Torlone. Basi di dati: Modelli e linguaggi di interrogazione, McGraw-Hill Italia,