Vlákno názorů k článku
Java zavádza string templates od balkovic - Okrem zjednodušenia syntaxe vytvárania reťazcov dokument zvlášť zdôrazňuje...

Okrem zjednodušenia syntaxe vytvárania reťazcov dokument zvlášť zdôrazňuje bezpečnostný aspekt, pretože táto syntax veľmi ľahko môže spôsobiť bezpečnostnú dieru.

Toto mi nedáva zmysel. Načo pridali syntax, ktorej výhodou je, že spôsobuje bezpečnostné diery?

To je neobratně řečeno. Jejich argument je, že když by zavedli jen běžnou interpolaci, tak by se to těžko ošetřovalo. Proto umožňili tvorbu vlastních procesorů, do kterých si vývojář může napsat jakoukoli kontrolu, escapování atd. a tedy ošetřit konkrétní nasazení třeba pro sestavení SQL query apod.

Sestavování kompletní SQL query v řetězci je bad practice. Řešením není "vlastní procesor s kontrolou a escapováním", ale nedělat to.

A jak se to tedy do té DB pošle?

Standardně. Query jako šablona, data extra a sloučení, včetně escapovaní, provede klientská knihovna. Předpokládám, že to dnes umí naprosto všechny. A že to tak všichni vývojáři používají.

23. 3. 2024, 10:35 editováno autorem komentáře

O tomto mluvi Ink:

cursor.execute("insert into some_table (id, created_at, last_name) values (%s, %s, %s);", (10, datetime.date(2020, 11, 18), "O'Reilly"))

Dle meho si jen nerozumite. Ten samotný dotaz bez dat si naopak umim predstavit, ze nejaka knihovna "poslepuje" ze stringu, napr. interpoluje nazev tabulky atd.

23. 3. 2024, 13:12 editováno autorem komentáře

JEP má príklad pre Query Builder.

PreparedStatement ps = DB."SELECT * FROM Person p WHERE p.last_name = \{name}";
ResultSet rs = ps.executeQuery();

Je to riešené tak šalamúnsky. V tom DB procesore to hodia do metódy prepareStatement. Nerobia vlastnú kontrolu, len ide o sprehľadnenie a zjednodušenie syntaxe.

Tá kontrola má stovky riadkov kódu, pričom sú odlišnosti pre MySQL a pre Postgres. Takže určite žiadna vlastná kontrola na strane klienta.

23. 3. 2024, 11:00 editováno autorem komentáře

Sestavovat query muze treba nejaky ORM engine, tam by to snad mohlo nejak pomoci. Jinak jak pises, to je samozrejme pravda. Ja jen, že Karell nepsal, dle meho, nic co oznacujes jako bad practice.

je to tak. nekdy to sice narazi (treba jmeno tabulky se AFAIK neda parametrizovat), ale tak v 99% pripadu to resi placeholdery + parametry poslane zvlast. Snad uz nikdo SQL rucne nesklada, pokud k tomu neni extra duvod (a to budou asi jen ta jmena tabulek, mozna jeste menitelnej ORDER BY).

Řešením je vlastní procesor, který bezpečně sestaví objekt `PreparedState­ment`. Elegantní řešení je naznačeno tady:

https://openjdk.org/jeps/459#Safely-composing-and-executing-database-queries

26. 3. 2024, 15:15 editováno autorem komentáře