前回は、JSTLとELについて学びました。
今回は、Javaプログラムとデータベースとの連携について学びます。
1. なぜ、Webアプリケーションにデータベースが必要なのか?
これまでに作成してきたWebアプリケーションのデータはアプリケーションサーバのメモリ上にだけ存在しています。ということはアプリケーションサーバを再起動したり、電源を切るとデータは消えてしまいます。
そこで、何らかの方法でデータを外部記憶装置に保存する必要が出てきます。(難しい表現ではデータの永続化 【perpetuation】ともいいます)その際にデータベースとファイルという候補がありますが、データベースのほうが優れているということは、この研修でもデータベースのところで学んだ通りです。
2. JDBCとは何か?
JDBC【Java DataBase Connectivity】とは、JavaプログラムからデータベースにアクセスするためのAPI【Application Programming Interface】です。もしもJDBCが無かったら、以下の図のようにデータベースの種類ごとにJavaのプログラムを変えなくてはなりません。
JDBCはあたかも「多言語を話す通訳者」のようなものです。
JDBCがデータベースの違いを吸収するため、どのようなデータベースに対しても、あるいはデータベースを変更しても、同じ手順で接続することができるのです。異なるデータベース製品は、DBMSの実装などで差異がありますが、JDBCはそれらの差異を隠蔽し、Javaプログラマが統一的な方法でデータベースにアクセスできるようにします。
下図はその概念図です。
講師の指示に従い、MySQLのJDBCドライバー(mysql-connector-java-x.x.xx.jar)をダウンロードして、Javaプロジェクトのクラスパスに追加します。
Eclipseを使っている場合は、下図のようにプロジェクトの中のWEB-INFディレクトリの中のlibディレクトリにダウンロードしたjarファイルをコピーするだけです。
3. JavaSEでJDBCを扱う
下図の通り、Javaプログラムからデータベースを利用してSELECT文を利用するためには3つのオブジェクトが必要です。
①データベースとの接続(セッション)を表すConnection
②SQL文を表すPreparedStatement
③データベースの結果セットを表すResultSet
Connection
- 役割: データベースへの接続を管理します。
- 使用法: データベースへの接続を確立するために使用され、この接続を通じてSQL文を実行します。データベース接続はコストがかかるリソースです。以降のコードでは、接続を一度開いて、複数の異なる操作で再利用しています。これにより、接続と切断のオーバーヘッドが減少し、アプリケーションのパフォーマンスが向上します。
PreparedStatement:
- 役割: パラメータ化されたSQL文を表します。
- 使用法: SQLインジェクション攻撃(後述)を防ぐため、または同じSQL文を繰り返し実行する際に効率的に使用されます。
PreparedStatementを使用することで、SQL文にパラメータを動的に挿入できます。
ResultSet:
- 役割: SQLクエリから返されたデータを保持します。
- 使用法: クエリの実行結果として得られたデータセットを操作し、データを読み取るために使用されます。
3.1 DAOパターンでデータベース処理を専門のクラスに任せる
1つのクラスの1つのメソッドの中にデータベース処理を書いた場合、メソッドが肥大化して理解しにくく、メンテナンスしにくいプログラムになってしまいます。そこで、データベース処理を専門のクラスに任せることにします。ビジネスロジックとデータベース処理をそれぞれ別のクラスに担当させるのです。
この考え方をDAOパターン【Data Access Object Pattern】といいます。
パターンというのは以前、MVCパターンのところでもでてきたデザインパターンのことです。
その概念を図示すると以下の図になります。
3.2 データベースの接続・切断の処理をスーパークラスとして切り出す
もしも、個々のクラスでデータベースに接続する処理とデータベースから切断する処理を書くとメンテナンス性が低下してしまいます。つまり、同じ処理をアチラコチラに書くと修正が大変になります。例えば、MySQLのパスワードを変更した際にその全てのファイルの記述箇所を探して変更する必要が生じてしまいますね。(DRY【Don't Repeat Yourself】原則に反するといいます。)
そこで、本書では下図のようにデータベースの接続と切断を行うSuperDaoクラスを作成して、carsやcustomersなどの各テーブルとの操作はSuperDaoクラスのサブクラスとして作成することにします。
「全てのサブクラスは一種のSuperDaoクラス」と言えますか?
言えますね。
ですので、このクラス設計で問題ないでしょう。
また、テーブルごとにSELECT、INSERT、UPDATE、DELETEの処理がまとまっているのが直感的にわかりやすいですね。
(なお、データベースの接続情報は後から変更したくなることもあります。ところがソースコードに接続情報を記述すると変更後に再コンパイルが必要になってしまいます。そのため、実務上はデータベースへの接続情報は別途ファイルを用意して、そのファイルの情報を読み込むようにすることで、より柔軟にデータベースへの接続情報を変更できるようにする場合があります。)
データベースへの接続と切断を担当するスーパークラスは以下SuperDao.javaになりました。
package model.dao;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
/**
* Daoクラス - 各daoの基底クラス データベースへの接続、切断、クエリ実行など各dao共通の機能を実装する
*
* @author Say Consulting Group
* @version 1.0.0
*/
public class SuperDao {
/** DB接続オブジェクト */
protected Connection con = null;
/** DB接続情報 */
private static final String DB_URI = "jdbc:mysql://localhost:3306/sip_a?characterEncoding=utf8&"
+ "useSSL=false&serverTimezone=GMT%2B9&rewriteBatchedStatements=true";
private static final String DB_USER = "newuser";
private static final String DB_PASS = "0";
/**
* connectメソッド データベースへの接続を開始する
*/
protected void connect() {
try {
// データベース接続用ドライバをロード
// javaSE8から不要な処理となったが、Tomcatを利用する場合は必要なので、記述
Class.forName("com.mysql.cj.jdbc.Driver");
// ドライバを用いてデータベースへの接続を開く
con = DriverManager.getConnection(DB_URI, DB_USER, DB_PASS);
System.out.println("データベースへの接続に成功しました。");
} catch (SQLException e) {
String errMsg = "データベースへの接続時に問題が発生しました。";
System.err.println(errMsg);
System.err.println(e);
} catch (ClassNotFoundException e) {
String errMsg = "データベース接続用クラスが見つかりません。";
System.err.println(errMsg);
System.err.println(e);
}
}
/**
* closeメソッド DBとの接続を切断する 各オブジェクトを再初期化する
*/
protected void close() {
try {
if (con != null) {
con.close();
con = null;
}
System.out.println("データベースからの切断に成功しました。");
} catch (SQLException e) {
String errMsg = "データベースからの切断時に問題が発生しました。";
System.err.println(errMsg);
System.err.println(e);
}
}
}- ①SuperDao.javaにはフィールドはいくつあって、それぞれの役割はなんですか?
| あなたの答え: |
- ②メソッドはいくつあって、それぞれの役割はなんですか?
| あなたの答え: |
- ③上記のフィールドやメソッドはSuperDaoクラスのサブクラスで定義しなくても使えますか?
| あなたの答え: |
- ④mysql-connector-java-x.x.xx.jarがない状態で上記プログラムを実行するとどのようなエラーメッセージが発生しますか?
| あなたの答え: |
接続情報(CONNECT_STRING)の文字列には下図のような意味がありますが、覚える必要はありません。
ただし、⑤のデータベース名だけは皆さんがMySQLで作成したスキーマ名になりますのでその点だけ忘れないように書き換えてください。
上記のコードに便宜的に以下のmain()メソッドを追加して実行してみて下さい。
public static void main(String[] args) {
SuperDao superDao = new SuperDao();
superDao.connect();
superDao.close();
}<実行結果>
| データベースへの接続に成功しました。 データベースからの切断に成功しました。 |
このように接続と切断だけをするスーパークラスができました。
次にこのスーパークラスを継承したクラス(WithSuperClass.java)を作成します。データベースに格納されている車の数をコンソール出力するプログラムです。詳細はひとまず置いて行数(全39行)に着目してください。
package model.dao;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class WithSuperClass extends SuperDao {
private PreparedStatement ps;
public int countCars() {
int ret = 0;
connect();
String SQL = "SELECT count(*) FROM cars";
try {
ps = con.prepareStatement(SQL);
ResultSet rs = ps.executeQuery();
rs.next();
ret = rs.getInt("count(*)");
} catch (SQLException e) {
System.err.println(e);
} finally {
close();
}
return ret;
}
public static void main(String[] args) {
WithSuperClass wsc = new WithSuperClass();
System.out.println(wsc.countCars());
}
}もしも、スーパークラスを継承しない場合は以下のWithoutSuperClass.javaのように全61行と長くなります。(スーパークラスまで含めると上記のコードも長いのですが、サブクラスが増えるにつれコード削減効果がでることは理解いただけるものと思います)
また、設定情報などの決まり文句が一箇所に集まっているのもスーパークラスを継承するメリットです。
package model.dao;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class WithoutSuperClass {
private static final String CONNECT_STRING = "jdbc:mysql://localhost:3306/sip_a?characterEncoding=utf8&useSSL=false&serverTimezone=GMT%2B9&rewriteBatchedStatements=true";
private static final String USER_ID = "newuser";
private static final String PASSWORD = "0";
private static Connection con = null;
private static PreparedStatement ps = null;
public int countCars() {
try {
con = DriverManager.getConnection(CONNECT_STRING, USER_ID, PASSWORD);
System.out.println("データベースへの接続に成功しました。");
} catch (SQLException e) {
System.err.println("データベースへの接続時に問題が発生しました。");
System.err.println(e);
}
int ret = 0;
String SQL = "SELECT count(*) FROM cars";
try {
ps = con.prepareStatement(SQL);
ResultSet rs = ps.executeQuery();
rs.next();
ret = rs.getInt("count(*)");
} catch (SQLException e) {
System.err.println(e);
} finally {
try {
if (ps != null) {
ps.close();
}
if (con != null) {
con.close();
}
System.out.println("データベースからの切断に成功しました。");
} catch (SQLException e) {
System.err.println("データベースからの切断時に問題が発生しました。");
System.err.println(e);
}
}
return ret;
}
public static void main(String[] args) {
WithoutSuperClass wosc = new WithoutSuperClass();
System.out.println(wosc.countCars());
}
}ここからはSuperDaoを継承したCarsクラスの様々なメソッドを通じてJavaからデータベースを扱う方法を学んでいきます。
まずは、SELECT文の実行結果であるResultSetの扱い方を学びます。
4. SELECT文
ここからいよいよ本格的にJavaからMySQLを扱うことにします。ただし、WebアプリケーションでMySQLを扱う前に、JavaSEでMySQLを扱ってみましょう。この方法は、いちいちアプリケーション・サーバーを立ち上げる必要がないためテストに要する時間を短縮できます。
さらに、常に以下の3ステップを踏めば、確実に動くプログラムを得ることができます。
- MySQLでSQL実行
- JavaSEでSQL実行
- JavaWebアプリケーションでSQL実行
みなさんも、決していきなりWebアプリケーションでSQLを実行しようとしてはいけません。
急がば回れです。
4.1 ResultSetの構造を理解する(まずは1レコードを取得する)
以下CarsDao.javaのcountCars()メソッドはcarsテーブルの車の数を取得するJavaSEプログラムです。これ以降のコードにはコメントを付けますので参考にして下さい。
以下の2点が前提です。
- データベース(MySQL)講座の中でユーザーやパスワードは既に設定してあり、テーブルも作成済みである
- ①プログラムを実行する前にcarsテーブルの車の数を取得するSQL文をMySQLWorkBenchで実行し、結果を以下に書き入れなさい。
| あなたの答え: |
package model.dao;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import model.CarBean;
import model.CarsBean;
public class CarsDao extends SuperDao {
// メソッドの開始:車の数をカウントするメソッド
public int countCars() {
// カウントした車の数を保持するための整数変数retを初期化
int ret = 0;
// データベースに接続するメソッドを呼び出し
connect();
// 車の総数を取得するためのSQLクエリを定義
String sql = "SELECT count(*) FROM cars";
// try-with-resources文を使用してPreparedStatementを作成
try (PreparedStatement ps = con.prepareStatement(sql)) {
// クエリを実行し、結果をResultSetに格納
ResultSet rs = ps.executeQuery();
// ResultSetの最初の行に移動
rs.next();
// ResultSetから車の総数を取得してretに代入
ret = rs.getInt("count(*)");
} catch (SQLException e) {
// SQL例外が発生した場合の処理
// エラーメッセージをコンソールに出力
System.err.println(e);
}
close();
// 車の総数を返す
return ret;
}
(以下のメソッドはこの後、順番に紹介します)- ①「con.prepareStatement(sql)」これはインスタンスメソッド、スタティックメソッド、どちらですか?
| あなたの答え: |
ちなみに、クラス名は過去分詞形のPrepared、メソッド名は動詞のprepareです。
- ②「rs.next()」の戻り値は何ですか? コンソール出力してみましょう。
| あなたの答え: |
- ③「rs.getInt("count(*)")」では何をしていると推測されますか?
| あなたの答え: |
rs.next()の戻り値はtrueでした。
rs.next();
のこの文が必要な理由は、下図にあるようなResultSetの構造にあります。
【Result】= 「結果」、【Set】= 「セット」ですので、SQLを実行した結果のセットがResultSetなのです。このResultSetは構造上、カーソルを1つ進めないと1行目のデータが読めないのです。
また、 ResultSet の一行から特定の列(や集約関数の結果)を取り出すには以下のようにインスタンスメソッドgetXxxに列名(や集約関数名)を引数として渡します。
rs.getInt("count(*)")
上記の例では count(*) がint型だったためgetInt()メソッドを使いましたが、型にあわせて getString()メソッド やgetDouble()メソッドを使い分けないといけません。
初学者がミスをしやすいところなので気をつけましょう。
4.2 ResultSetから全件のレコードを取得する
全件のレコードを取得するJavaプログラムを作成してみます。以下は前提条件です。
- modelパッケージに6章で作成したCarbeanクラスをコピーしてあり、以下のCarsBeanクラスも作成済みである。
package model;
import java.io.Serializable;
import java.time.LocalDateTime;
import java.util.ArrayList;
import java.util.List;
public class CarsBean implements Serializable {
private List<CarBean> carArrayList = new ArrayList<>();
public CarsBean() {
}
public List<CarBean> getCarArrayList() {
return carArrayList;
}
public void setCarArrayList(List<CarBean> carArrayList) {
this.carArrayList = carArrayList;
}
public void addCar(CarBean aCar) {
this.carArrayList.add(aCar);
}
public int getCarsSize() {
return this.carArrayList.size();
}
@Override
public String toString() {
return "CarsBean{" + "carArrayList=" + carArrayList + '}';
}
}- ①CarsBeanクラスにmain()メソッドを加えて、CarBeanのインスタンスを複数作成し、CarsBeanにaddCarしてからコンソール出力してみなさい。
| あなたの答え: |
- ②carsテーブルの全ての車のレコードを取得するSQL文を以下に記述してから、MySQLWorkBenchで実行しなさい。
| あなたの答え: |
以下のCarsDao.javaのgetCarsBean()メソッドを読み込んで質問に答えてください。
// メソッドの開始:CarsBeanオブジェクトを取得するメソッド
public CarsBean getCarsBean() {
// CarsBeanオブジェクトのインスタンスを生成
CarsBean carsBean = new CarsBean();
// データベースに接続するメソッドを呼び出し
connect();
// 'cars'テーブルから全てのデータを選択するSQLクエリを定義
String sql = "SELECT * FROM cars";
try (PreparedStatement ps = con.prepareStatement(sql)) {
// クエリを実行し、結果をResultSetに格納
ResultSet rs = ps.executeQuery();
// ResultSetを繰り返し処理し、各車のデータを取得
while (rs.next()) {
// 一時的に車の情報を保持するCarBeanオブジェクトのインスタンスを生成
CarBean car = new CarBean();
// CarBeanにcar_id, name, price, deleted_atを設定
car.setCarId(rs.getInt("car_id"));
car.setName(rs.getString("name"));
car.setPrice(rs.getInt("price"));
car.setDeletedAt(rs.getString("deleted_at"));
// 取得した車のデータをCarsBeanに追加
carsBean.addCar(car);
}
} catch (SQLException e) {
// SQL例外が発生した場合の処理
// エラーメッセージをコンソールに出力
System.err.println(e);
}
close();
// 取得したCarsBeanを返す
return carsBean;
}
先の1件のレコードを取得したときとソースコードは何が違いますか?
- ①SQL文の観点から違いを挙げてください。
| あなたの答え: |
- ②繰り返し処理の観点から違いを挙げてください。
| あなたの答え: |
- ③戻り値の観点から違いを挙げてください。
| あなたの答え: |
- ④適切なmain()メソッドを加えて実行してみて下さい。
| あなたの答え: |
今回のResultSet rsのインスタンスの中身(イメージ)は下図になります。そのため繰り返しが必要なのでした。
4.3 特定のレコードを取得する
次にユーザーが選択した特定のcar_idを持つレコードを取得してみます。
- ①carsテーブルから特定のcar_id(例えば1)を持つ車のレコードを取得するSQL文を以下に記述してから、MySQLWorkBenchで実行しなさい。
| あなたの答え: |
以下のgetACar()メソッドを実行してみましょう。
// 特定のIDを持つ車の情報をデータベースから取得するメソッド
public CarBean getACar(int id) {
// CarBeanの新しいインスタンスを生成
CarBean car = new CarBean();
// データベースへの接続を行う
connect();
// 指定されたcar_idに基づいて車の情報を取得するSQLクエリ
String sql = "select * from cars where car_id = ?";
try (PreparedStatement ps = con.prepareStatement(sql)) {
// クエリのパラメータ(car_id)を設定する
ps.setInt(1, id);
// クエリを実行し、結果をResultSetに格納する
ResultSet rs = ps.executeQuery();
// 結果セットにデータが存在する場合のみ処理を行う
if (rs.next()) {
// ResultSetから車の情報を取得し、CarBeanにセットする
car.setCarId(rs.getInt("car_id"));
car.setName(rs.getString("name"));
car.setPrice(rs.getInt("price"));
car.setDeletedAt(rs.getString("deleted_at"));
}
} catch (SQLException e) {
// SQL例外が発生した場合、エラーをコンソールに出力する
System.err.println(e);
}
close();
// 取得した車の情報を含むCarBeanを返す
return car;
}
- ①上記のgetACar()メソッドの引数と戻り値の型を答えなさい。
| あなたの答え: |
- ②仮に同じcar_idの車が複数台データベースに格納されていた場合はどうなりますか?
| あなたの答え: |
- ③適切なmain()メソッドを加えて実行してみて下さい。
| あなたの答え: |
上記のコードではSQL文の最後が「car_id = ?」となっています。この「?」をプレースホルダといいます。このプレースホルダにはps.setInt(1, id);のところでgetACar()メソッドの引数のidが入ります。
今回はプレースホルダが1つです。しかし、プレースホルダの「?」は複数あっても良いです。その場合の数え方は左から1,2…となります。0始まりでない点は注意して下さい。配列の添字やコレクションフレームワークのインデックスのようにJavaは0から数えるのが一般的です。しかし、プレースホルダの番号はそうでないのは、初学者が間違えやすいところです。
また、第2引数はセットしたい値です。気をつけないといけないのは、今回はint値であったため、setInt()メソッドでしたが、文字列であればsetString()メソッドになるという点です。
4.4 SQLインジェクションとは?
SQLインジェクションは、Webアプリケーションのデータベースを不正に操作する攻撃手法です。SQLインジェクションにより、個人情報やパスワード、クレジットカード情報などが盗まれることがあります。
ここからのお話は想像力をたくましくしてお聞きください。つまり、以下のサンプルコードSQLInjection.javaはWebアプリケーションではないですが、もしも、Webアプリケーションで同じことが行われたらどうなるかと想像しながら聞いてください。
package model.dao;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Scanner;
public class SQLInjection extends SuperDao {
public static String SQL = "SELECT * FROM customers where customer_id = ";
PreparedStatement ps = null;
ResultSet rs = null;
public void getACustomer() {
try {
connect();
System.out.println("customer_idを整数値で指定してください");
try (Scanner sc = new Scanner(System.in)) {
String customer_id = sc.nextLine();
SQL += customer_id;
}
ps = con.prepareStatement(SQL);
rs = ps.executeQuery();
while (rs.next()) {
System.out.print(rs.getInt("customer_id") + ":");
System.out.print(rs.getString("name") + ":");
System.out.print(rs.getString("mail") + ":");
System.out.print(rs.getString("mobile") + ":");
System.out.println(rs.getString("pass"));
}
} catch (SQLException e) {
System.err.println("データベースへの接続時に問題が発生しました。");
System.err.println(e);
} finally {
close();
}
}
public static void main(String[] args) {
SQLInjection sqlInjection = new SQLInjection();
sqlInjection.getACustomer();
}
}上記プログラムを実行して、
customer_idを指定してください
につづけて適当な数値を入力してエンターするとその番号の顧客の個人情報が標準出力に表示されます。(このプログラムは1件のレコードを取得する仕様に対して、複数件のレコードを取得する繰り返しがあり、不自然ですが、SQLインジェクションの解説につなげる意図ですので容赦ください)
- ①「SQL += customer_id;」ここでは何をしていますか?
| あなたの答え: |
上記コードの実行画面で、例えば以下のように入力するとどうなりますか?
1 or 1 = 1
全てのレコードが取得できたはずです。実はこれはSQLインジェクションとして知られた攻撃(の簡略版)なのです。パスワードが全て盗まれてしまいましたね。
ここでもう一度SQL文をよく見てみます。
下図の赤枠で囲った「1 = 1」の部分が常にtrueと評価されるために全てのレコードという意味になるのですね。(SELECT * FROM customers where id = true と同じですので試してください )
このようにSQL文の組み立てを文字列連結によっているのは悪い書き方です。
したがって 「1 = 1」でなくても常にtrueと評価される式であれば何でもSQLインジェクション攻撃になります。
おそらく最近もSQLインジェクションの被害事例があると思いますのでリンクをたどってみてください。
新しいプログラム言語にはこれから説明するようなSQLインジェクション対策が施されているにもかかわらず、未だに古い言語や古い書き方をして被害に合う組織が多いことは本当に残念です。
また、この研修では扱いませんが、Webアプリケーションフレームワークを使って開発したり、WAF【Web Application Firewall】の仕組みを導入することによりSQLインジェクション対策を施すことも有効です。
4.4.1 プレースホルダを使用してSQLインジェクション攻撃を避ける
SQLインジェクション対策はどうすればよいのでしょうか?
プレースホルダを使用するという方法があります。
プレースホルダとは以下のサンプルコードにある「?」です。この「?」は以下のコードによりキーボードから入力された値に置き換わるのです。
ps.setString(1, customer_id);
この setString()メソッドの第1引数はプレースホルダの番号です。この番号はSQL文の左から順に1から数え、0からではない点に注意するのでした。気をつけないといけないのは、前回はint値であったため、setInt()メソッドでしたが、文字列なのでsetString()メソッドになるということでした。
以下のPlaceholder.javaはcustomer_idで検索できる先ほど同様のプログラムです。ただし、プレースホルダでSQLインジェクション対策をしてありますので実行して「1 or 1 = 1」を入力して確かめてください。
package model.dao;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Scanner;
public class Placeholder extends SuperDao {
public static final String SQL = "SELECT * FROM customers where customer_id = ?";
PreparedStatement ps = null;
ResultSet rs = null;
public void getACustomer() {
try {
connect();
System.out.println("customer_idを整数値で指定してください");
String customer_id;
try (Scanner sc = new Scanner(System.in)) {
customer_id = sc.nextLine();
}
ps = con.prepareStatement(SQL);
ps.setString(1, customer_id);
rs = ps.executeQuery();
while (rs.next()) {
System.out.print(rs.getInt("customer_id") + ":");
System.out.print(rs.getString("name") + ":");
System.out.print(rs.getString("mail") + ":");
System.out.print(rs.getString("mobile") + ":");
System.out.println(rs.getString("pass"));
}
} catch (SQLException e) {
System.err.println("データベースへの接続時に問題が発生しました。");
System.err.println(e);
} finally {
close();
}
}
public static void main(String[] args) {
Placeholder placeholder = new Placeholder();
placeholder.getACustomer();
}
}今度は、一人だけが抽出されましたね。
なお、PreparedStatementのプレースホルダ(?)は、リテラル値の置き換えにのみ使用されるため、値を動的に挿入するために使用されますが、SQL の構造自体(テーブル名やカラム名、SQLキーワードなど)を変更するためには適していません。
例えば、プレースホルダは「SELECT * FROM users WHERE user_id = ?」といった場合において「?」に具体的な値を安全に挿入するのには適しています。しかし、テーブル名やカラム名、SQLコマンドの部分をプレースホルダを通じて変更することはできません。つまり「? * FROM customers;」のような使い方はできません。もし、できるとすると「?」が「DELETE」に置き換えられ大変なことになります。また、「SELECT ? FROM customers;」のような使い方もできません。もし、できるとすると「?」が「password」などに置き換えられて、これまた大変なことになりますね。これらを試みるとエラーになることが一般的です。
4.5 任意のフィールドで昇順または降順に並べ替える
以下のgetSortedCarsBean()メソッドでは、SQLインジェクション対策をしたうえで、任意のフィールドで昇順または降順に並べ替えています。
- ①carsテーブルからpriceの降順に全ての車のレコードを取得するSQL文を以下に記述してから、MySQLWorkBenchで実行しなさい。
| あなたの答え: |
詳細はコメントを読んで講師の解説をお聞きください。また、main()メソッドからこのメソッドを実行してみてください。
// 任意のフィールドで昇順または降順に並べ替えるメソッド
public CarsBean getSortedCarsBean(String sortField, boolean isAscending) {
CarsBean carsBean = new CarsBean();
connect();
// sortFieldが有効なフィールド名であるか確認
if (!isValidSortField(sortField)) {
throw new IllegalArgumentException("Invalid sort field: " + sortField);
}
String sortOrder = isAscending ? "ASC" : "DESC";
String sql = "SELECT * FROM cars ORDER BY " + sortField + " " + sortOrder;
try (PreparedStatement ps = con.prepareStatement(sql)) {
// クエリを実行し、結果をResultSetに格納
ResultSet rs = ps.executeQuery();
// ResultSetを繰り返し処理し、各車のデータを取得
while (rs.next()) {
// 一時的に車の情報を保持するCarBeanオブジェクトのインスタンスを生成
CarBean car = new CarBean();
// CarBeanにcar_id, name, priceを設定
car.setCarId(rs.getInt("car_id"));
car.setName(rs.getString("name"));
car.setPrice(rs.getInt("price"));
car.setDeletedAt(rs.getString("deleted_at"));
// 取得した車のデータをCarsBeanに追加
carsBean.addCar(car);
}
} catch (SQLException e) {
// SQL例外が発生した場合の処理
// エラーメッセージをコンソールに出力
System.err.println(e);
}
close();
// 取得したCarsBeanを返す
return carsBean;
}
// 指定されたフィールド名が有効かどうかをチェックするメソッド
private boolean isValidSortField(String field) {
// 許可されたフィールド名の配列
String[] validFields = { "car_id", "name", "price", "deleted_at" };
// 与えられたフィールド名が配列内に存在するかどうかを確認
for (String validField : validFields) {
if (validField.equals(field)) {
return true;
}
}
return false;
}- ①「throw new IllegalArgumentException("Invalid sort field: " + sortField)」これは何を投げているのでしたか?
| あなたの答え: |
- ②「isAscending ? "ASC" : "DESC"」 こういう文をなんと呼ぶのでしたか?
| あなたの答え: |
- ③適切なmain()メソッドを加えて実行してみて下さい。
| あなたの答え: |
4.6 あいまい検索を使ってレコードを取得する
Google検索の例を見ても明らかなように、あいまい検索はアプリケーションでとても大きな力を発揮します。
- ①carsテーブルからあいまい検索でnameに"車"を含む全てのレコードを取得するSQL文を以下に記述してから、MySQLWorkBenchで実行しなさい。
| あなたの答え: |
詳細はコメントを読んで講師の解説をお聞きください。また、main()メソッドからこのメソッドを実行してみてください。
// キーワードに基づいて車を検索し、その結果をCarsBeanに格納して返すメソッド
public CarsBean searchCarsBean(String keyword) {
// CarsBeanの新しいインスタンスを生成
CarsBean carsBean = new CarsBean();
// データベースへの接続を行う
connect();
// 指定されたキーワードに基づいて車の情報を検索するSQLクエリ
String sql = "select * from cars where name like ?";
try (PreparedStatement ps = con.prepareStatement(sql)) {
// クエリのパラメータ(nameの検索キーワード)をあいまい検索で設定する
ps.setString(1, "%" + keyword + "%");
// クエリを実行し、結果をResultSetに格納する
ResultSet rs = ps.executeQuery();
// 結果セットの各行を繰り返し処理し、車の情報を取得する
while (rs.next()) {
// 一時的に車の情報を保持するCarBeanの新しいインスタンスを生成
CarBean car = new CarBean();
// ResultSetから車の情報を取得し、CarBeanにセットする
car.setCarId(rs.getInt("car_id"));
car.setName(rs.getString("name"));
car.setPrice(rs.getInt("price"));
car.setDeletedAt(rs.getString("deleted_at"));
// 取得した車の情報をCarsBeanに追加する
carsBean.addCar(car);
}
} catch (SQLException e) {
// SQL例外が発生した場合、エラーをコンソールに出力する
System.err.println(e);
}
close();
// 検索結果を含むCarsBeanを返す
return carsBean;
}
- ①「"%" + keyword + "%"」なぜ、これであいまい検索になるのでしたか?
| あなたの答え: |
5. SELECT文以外の操作
5.1 INSERT文
次にレコードの挿入です。
- ①carsテーブルにname=電気自動車 price=5000000というレコードを挿入するSQL文を以下に記述してから、MySQLWorkBenchで実行しなさい。
| あなたの答え: |
以下のaddACar()メソッドを読み込んで質問に答えてください。
// 新しい車のデータをデータベースに追加するメソッド
public int addACar(CarBean aCar) {
// 返り値として使用する整数型変数を初期化
int ret = 0;
// データベースへの接続を行う
connect();
// 新しい車を追加するためのSQL文を定義
String sql = "INSERT INTO cars(name, price) VALUES( ?, ?);";
try (PreparedStatement ps = con.prepareStatement(sql)) {
// PreparedStatementに車の名前と価格をセット
ps.setString(1, aCar.getName());
ps.setInt(2, aCar.getPrice());
// SQL文を実行し、処理された行数をretに代入
ret = ps.executeUpdate();
} catch (SQLException e) {
// SQL処理中に例外が発生した場合のエラーハンドリング
System.err.println(e);
}
close();
// 処理された行数を返す
return ret;
}- ①レコードのInsertにResultSetオブジェクトは必要ですか?
| あなたの答え: |
- ②このSQL文を解説しなさい。
| あなたの答え: |
- ③「ps.executeUpdate()」の戻り値を答えなさい。
| あなたの答え: |
- ④上記のINSERT文ではcar_idを指定していません。なぜ、これで良いのですか?MySQLの知識で答えてください。
| あなたの答え: |
これまで学んだSELECT文の場合は、SQLを実行するメソッドがexecuteQuery()でしたね。しかし、今回のINSERT文では、executeUpdate()ですので気をつけましょう。【Query】=問い合わせ、【Update】=更新と意味から考えれば間違うことがなくなるでしょう。
- ⑤このあと学ぶUPDATE文、DELETE文はexecuteQuery()とexecuteUpdate()どちらを使うと思いますか?
| あなたの答え: |
今回SQLに埋め込まれた“?”マークをプレースホルダといいました。このプレースホルダにps.setInt()メソッドやps.setString()メソッドを使って実際の値を入れることでSQL文を完成させるのでした。メソッドの引数はそれぞれ、(位置,値)でしたね。
プレースホルダの「?」の位置は左から順に1から数えます。(0からでない点に注意するのでした)
5.2 UPDATE文
次にレコードの更新を見てみましょう。
- ①carsテーブルのcar_idが3のレコードのdeleted_atを今年の4月1日0時0分0秒に更新するSQL文を以下に記述してから、MySQLWorkBenchで実行しなさい。
| あなたの答え: |
以下のupdateACar()メソッドは何をしていますか?
// データベース内の特定の車の情報を更新するためのメソッド
public int updateACar(CarBean aCar) {
// 更新に成功したレコードの数を保持する変数を初期化
int ret = 0;
// データベースに接続
connect();
// 車の情報を更新するSQL文を定義
String sql = "UPDATE cars SET name = ?, price = ?, deleted_at = ? WHERE car_id = ?";
try (PreparedStatement ps = con.prepareStatement(sql)) {
// SQL文のパラメータを設定
ps.setString(1, aCar.getName()); // 車の名前
ps.setInt(2, aCar.getPrice()); // 価格
ps.setString(3, aCar.getDeletedAt()); // 削除日時
ps.setInt(4, aCar.getCarId()); // 車のID
// SQL文を実行し、影響を受けたレコードの数を取得
ret = ps.executeUpdate();
} catch (SQLException e) {
// SQL例外が発生した場合、エラーを出力
System.err.println(e);
}
close();
// 更新に成功したレコードの数を返す
return ret;
}- ①このプログラムの処理内容は?
| あなたの答え: |
SQLのUPDATE文を実行するメソッドがexecuteUpdate()であるということは覚えやすいと思います。しかし、INSERT文やDELETE文もexecuteUpdate()であるということは忘れやすいので気をつけましょう。
5.3 DELETE文
MySQLの時にお話ししたようにDELETE文は、本研修でほとんど活躍の場がありませんのでサンプルコードも紹介しません。
CRUD【Create, Read, Update, Delete】処理を全て紹介し終わったところで、SQLを実行する2つのメソッドについて下表8.1にまとめておきます。
| SQLの実行メソッド | 対応SQL文 | 戻り値 | 考え方 |
| executeQuery() | SELECT文 | ResultSetオブジェクト | (必要に応じてプレースホルダをsetXXX()メソッドで埋めてから)SQLを実行してResultSetを取得、 next()メソッドでカーソルを移動し、そのレコードから必要な列をgetXXX()メソッドで取得する。 |
| executeUpdate() | INSERT文 UPDATE文 DELETE文 | 主として処理したレコード数 | SQLのプレースホルダをsetXXX()メソッドで埋めてから実行する。ResultSetは使わない。 |
6. Webアプリケーションとデータベースを連携させる
これまでの知識を応用してデータベースに入っているユーザー情報を使ってシステムにログインする処理を書いてみましょう。できるだけ過去に作成したプログラムを再利用することにします。
また、前提として下図のようなlogin_userテーブルがsip_aスキーマにあることとします。
新規作成クラス
<LoginDao.java>
継承するクラス:SuperDao
属性:なし
操作
| 操作名 | 可視性 | 引数リスト | 返却値 | static | 説明 |
| login | public | String id, String password | boolean | - | SQL を実行して、レコードが0件を超えていたらtrueを返す、超えていなければfalseを返す。 |
<LoginServlet.java>
継承するクラス:HttpServlet
urlPatterns:/Login
属性:なし
操作
| 操作名 | 可視性 | 引数リスト | 返却値 | static | 説明 |
| doPost | protected | HttpServletRequest request, HttpServletResponse response | void | - | フォームから送信されたidとpassを元に、LoginDaoを使ってログインを試みる。ログインできた場合は、member-only2.jspにフォワードする。ログインできなかった場合はlogin-error.jspにリダイレクトする。 |
必要なソースコードは以下のとおりです。
ただし、superDao、member-only2.jspとlogin-error.jsp、video.jspは再利用しているため掲載を割愛します。
<%@ page language="java" contentType="text/html; charset=UTF-8"
pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1">
<link
href="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/css/bootstrap.min.css"
rel="stylesheet"
integrity="sha384-EVSTQN3/azprG1Anm3QDgpJLIm9Nao0Yz1ztcQTwFspd3yD65VohhpuuCOmLASjC"
crossorigin="anonymous">
<title>ログイン画面</title>
</head>
<body>
<div class="container">
<div class="row justify-content-center align-items-center"
style="height: 100vh;">
<div class="col-4">
<form action="${pageContext.request.contextPath}/Login"
method="post" class="form-signin">
<div class="form-group mb-3">
<label for="userId">ユーザーID:</label> <input type="text" id="userId"
class="form-control" name="id" required>
</div>
<div class="form-group mb-3">
<label for="password">パスワード:</label> <input type="password"
id="password" class="form-control" name="pass" required>
</div>
<div class="form-group mb-3">
<input type="submit" class="btn btn-primary" value="ログイン">
</div>
</form>
</div>
</div>
</div>
<script
src="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/js/bootstrap.bundle.min.js"
integrity="sha384-MrcW6ZMFYlzcLA8Nl+NtUVF0sA7MsXsP1UyJoMp4YLEuNSfAP+JcXn/tWtIaxVXM"
crossorigin="anonymous"></script>
</body>
</html>package model.dao;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class LoginDao extends SuperDao {
// ログインメソッド。ユーザーIDとパスワードを受け取り、ログイン成功かどうかを返す
public boolean login(String id, String pass) {
boolean isSuccess = false;
// ユーザーIDとパスワードに一致するレコードが存在するかをカウントするクエリ
String query = "SELECT COUNT(*) FROM login_user WHERE login_id = ? AND password = ?";
// データベースに接続する
connect();
// try-with-resourcesを使用してPreparedStatementとResultSetを自動的にクローズ
try (PreparedStatement ps = con.prepareStatement(query)) {
// クエリの最初のプレースホルダーにユーザーIDをセット
ps.setString(1, id);
// クエリの二番目のプレースホルダーにパスワードをセット
ps.setString(2, pass);
// クエリを実行して結果セットを取得
ResultSet rs = ps.executeQuery();
// 結果セットが存在し、最初のカラムの値が0より大きければログイン成功
if (rs.next()) {
isSuccess = rs.getInt("COUNT(*)") > 0;
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
// データベース接続を閉じる
close();
}
// ログイン成功または失敗を返す
return isSuccess;
}
}- ①上記LoginDaoにmain()メソッドを追加して「id:imai password:p」でログインできること、それ以外ではログインできないことを確かめなさい。
| 確かめた結果: |
package controller;
import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import model.dao.LoginDao;
// このクラスはログイン処理を行うサーブレットです
@WebServlet(urlPatterns = { "/Login" })
public class LoginServlet extends HttpServlet {
// POSTリクエストが送信されたときに呼び出されるメソッド
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
// フォームから送信されたユーザーIDとパスワードを取得
String id = request.getParameter("id");
String pass = request.getParameter("pass");
// 入力検証:ユーザーIDまたはパスワードが空の場合、エラーページにリダイレクト
if (id == null || id.isEmpty() || pass == null || pass.isEmpty()) {
response.sendRedirect("view/login-error.jsp");
return;
}
// ログイン処理を行うためのDAOオブジェクトを作成
LoginDao ld = new LoginDao();
try {
// ユーザーIDとパスワードを使ってログイン認証を行う
if (ld.login(id, pass)) {
// 認証成功時、新しいセッションを作成してユーザーIDをセッションに設定
HttpSession session = request.getSession();
session.invalidate(); // 古いセッションを無効化
session = request.getSession(true); // 新しいセッションを作成
session.setAttribute("id", id); // セッションにユーザーIDを設定
// メンバー専用ページにフォワード
request.getRequestDispatcher("view/member-only2.jsp").forward(request, response);
} else {
// 認証失敗時、エラーページにリダイレクト
response.sendRedirect("view/login-error.jsp");
}
} catch (Exception e) {
// 例外発生時、エラーページにリダイレクト
e.printStackTrace();
response.sendRedirect("view/login-error.jsp");
}
}
}今回は、JDBCでデータベースと接続する方法を見てきました。これでJavaWebアプリケーションとMySQLを組み合わせることができました。ここまでの学習内容でこのあと受講者の皆さんに配布するサンプルWebアプリケーションを自力で読み取れるようになったことでしょう。
ただし、システムはあらゆる事態を想定していないといけません。
例えば、想定していないデータを入れられた場合にも優しくそれをたしなめる様なシステムが求められます。(フールプルーフ【fool proof】といいます)そのためにはバリデーションという考え方が必要です。よろしければ、正規表現を使いバリデーションをする方法を参照してください。