Необходимые параметры в предложении SQL where?

Question

Представьте, что вы имеете следующую таблицу (примечание: это надуманный/упрощенный пример):

CREATE TABLE foo ( 
    book_id number, 
    page number, 
    -- [a bunch of other columns describing a single page in a book] 
); 

ALTER TABLE foo 
ADD (CONSTRAINT foo_pk PRIMARY KEY(book_id, page)); 

В то время как (book_id, страница) пары являются уникальными, и та же страница будет повторяться между книгами (много книг будет есть страница 1). Поэтому, если SQL-запрос не указывает book_id, могут быть выбраны/обновлены/удалены неправильные страницы (-ы). Все наши запросы должны действовать только по одной книге за раз, но я видел пару ошибок, где параметр book_id был случайно опущен.

Существует ли программный способ обеспечения того, чтобы каждый запрос на выбор, вставку, обновление и т.д. указывал book_id в предложении where?

Мы генерируем SQL-код для запросов динамически и выполняем их с использованием Spring JdbcTemplate. База данных - это Oracle. Используя автоматические тесты, чтобы проверить, что многие возможные запросы (плюс новые, которые добавляются в будущем!), Не сработают с дублированием page_ids. Я мог бы переопределить код JdbcTemplate, чтобы гарантировать, что sql-запросы всегда включают параметр book_id, но это требует ручного разбора кода SQL (особенно сложного с подзапросами) и кажется взломанным. Есть ли более надежное решение для обеспечения этого? Некоторые триггер, хранимая процедура, ограничение?

Answer 1

Вы можете использовать функцию или хранимую процедуру вместо прямого использования UPDATE. Процедура принимает 2 параметра и выдает ошибку, если она равна нулю.

Другой вариант - убедиться, что запросы, которые вы генерируете, всегда имеют ограничение book_id. Я надеюсь, что вы не создаете весь оператор SQL как String и что вы используете параметризованные запросы. Если вы этого не сделаете, то использование параметризованных запросов - это хороший способ убедиться, что вы всегда проходите book_id (если оставить параметр отключенным, запрос не будет выполняться). Кроме того, вам не грозит опасность, если вы не будете дезинфицировать ваши данные при использовании параметризованных запросов.

Answer 2

Общим способом защиты базы данных от ошибки программиста является требование, чтобы приложения использовали хранимые процедуры. (Иногда это может быть сделано с разрешениями.)

Гораздо проще проверить ваши процессы на предмет соответствия, чем специальные запросы.

Answer 3

Единственный способ, которым я могу это сделать, - заменить столбцы book_id и page в таблице одним столбцом, в котором хранятся обе части информации - что-то вроде (book_id * 10000 + страница), если вы хотите, чтобы в столбце целого числа или "book_id-page" для столбца строки.

Это плохая идея с точки зрения правильности (два атрибута, хранящиеся в одном столбце), но заставит ваших программистов использовать оба атрибута для взаимодействия с таблицей. Если это достаточно большой интерес для вас, вы можете подумать об этом.

Answer 4

Прежде всего, это действительно проблема тестирования - это не пользователи, которые сделают ошибку, это разработчики, и их ошибки должны быть пойманы до приложение отправляется вживую.

Сказав, что вы могли бы ловушку таких обновлений посредством комбинации триггеров:

• Заявления уровня ДО триггера для инициализации переменной g_book_id пакета обнулить
• Триггер на уровне строк (а) проверьте, что обновленная book_id соответствует той, что в переменной пакета (если не null), и (b) инициализирует переменную пакета, если она равна нулю.

Простой пример:

SQL> create table t1 (id int, col2 int); 

Table created. 

SQL> insert into t1 values(1, null); 

1 row created. 

SQL> insert into t1 values(2, null); 

1 row created. 

SQL> create package p1 is g_id integer; end; 
    2/

Package created. 

SQL> create trigger t1_bus 
    2 before update on t1 
    3 begin 
    4 p1.g_id := null; 
    5* end; 
SQL>/

Trigger created. 

SQL> create trigger t1_bir 
    2 before update on t1 
    3 for each row 
    4 begin 
    5  if :new.id != p1.g_id then 
    6  raise_application_error(-20000,'You can only update 1 ID at a time'); 
    7  end if; 
    8  p1.g_id := :new.id; 
    9 end; 
10/

Trigger created. 

SQL> update t1 set col2=1 where id=1; 

1 row updated. 

SQL> update t1 set col2=2 where id=2; 

1 row updated. 

SQL> update t1 set col2=3; -- ID not specified 
update t1 set col2=3 
     * 
ERROR at line 1: 
ORA-20000: You can only update 1 ID at a time