Java JDBC Statement Interface | W3Docs Learn Java

Un Statement invia una stringa SQL completa e fissa al database. Lo si crea da una Connection, gli si passa l'SQL e si ottiene in cambio un ResultSet (per le query) o un conteggio degli aggiornamenti (per le modifiche). È il più semplice dei tre tipi di statement JDBC — e quello che dovresti usare meno, perché qualsiasi dato variabile nell'SQL deve essere concatenato a mano, ed è così che nascono i bug di SQL injection.

Questo capitolo spiega come creare ed eseguire uno Statement, i tre metodi di esecuzione e quando usarne ciascuno, come regolare il cursore e leggere le chiavi generate, e — soprattutto — quando fermarsi e usare invece un PreparedStatement. Se sei nuovo a JDBC, inizia con l'introduzione a JDBC.

Creazione ed esecuzione

try (Connection conn = DriverManager.getConnection(url, user, pw);
     Statement st = conn.createStatement()) {
  // a query → ResultSet
  try (ResultSet rs = st.executeQuery("SELECT count(*) FROM product")) {
    rs.next();
    System.out.println(rs.getInt(1));
  }
  // a change → update count
  int rows = st.executeUpdate("UPDATE product SET active = true WHERE price > 0");
  System.out.println(rows + " rows updated");
}

I tre metodi di esecuzione

Metodo	Usare per	Restituisce
`executeQuery(sql)`	`SELECT`	un `ResultSet`
`executeUpdate(sql)`	`INSERT` / `UPDATE` / `DELETE` / DDL	`int` righe interessate
`execute(sql)`	risultati sconosciuti / multipli	`boolean` (true se un `ResultSet`)

Usa executeQuery e executeUpdate ogni volta che sai in anticipo quale tipo di statement stai eseguendo — restituiscono direttamente il tipo corretto. Ricorri a execute solo in strumenti generici (una console SQL, un runner di migrazioni) dove l'SQL non è noto fino al runtime; dopo di esso chiami getResultSet() o getUpdateCount() per recuperare il risultato.

executeUpdate restituisce 0 per DDL come CREATE TABLE, e per INSERT/UPDATE/DELETE restituisce il numero di righe interessate — utile per confermare che un aggiornamento abbia effettivamente corrisposto a una riga.

Regolazione del cursore e chiavi generate

Quando crei uno statement puoi scegliere come si comporta il cursore risultante con createStatement(resultSetType, resultSetConcurrency) — ad esempio TYPE_FORWARD_ONLY, CONCUR_READ_ONLY (il default e il più veloce). Chiedi TYPE_SCROLL_INSENSITIVE solo quando hai bisogno di scorrere indietro attraverso il risultato, e CONCUR_UPDATABLE solo quando intendi modificare le righe tramite il cursore; entrambi costano di più.

Per gli inserimenti, passa Statement.RETURN_GENERATED_KEYS e poi leggi la chiave primaria assegnata dal database con getGeneratedKeys():

try (Statement st = conn.createStatement()) {
  st.executeUpdate(
      "INSERT INTO product(name, price) VALUES ('Widget', 9.99)",
      Statement.RETURN_GENERATED_KEYS);
  try (ResultSet keys = st.getGeneratedKeys()) {
    if (keys.next()) {
      long newId = keys.getLong(1);
      System.out.println("inserted id = " + newId);
    }
  }
}

Senza quel flag la chiamata ha successo ma getGeneratedKeys() restituisce un ResultSet vuoto, quindi non puoi recuperare il nuovo id.

Quando NON usare Statement

Nel momento in cui qualsiasi parte dell'SQL proviene da una variabile — un nome utente, un id, un termine di ricerca — fermati e usa invece PreparedStatement. Concatenare valori in una stringa Statement è insicuro: un valore contenente un apice può cambiare il significato del comando. PreparedStatement memorizza anche il piano di analisi, quindi una query eseguita in un ciclo è più veloce come prepared statement. Il prossimo capitolo è dedicato a quell'alternativa sicura; per le stored procedure, vedi CallableStatement.

Riserva Statement per SQL fisso e privo di valori: configurazione dello schema (CREATE TABLE …), DDL una tantum, o un SELECT hard-coded senza parti variabili.

Attenzione

Non chiudere mai uno Statement mentre hai ancora bisogno del suo ResultSet — chiudere lo statement chiude qualsiasi risultato prodotto. Usa un blocco try-with-resources, come negli esempi sopra, in modo che ciascuno venga chiuso nell'ordine corretto.

Un esempio pratico: le costanti del cursore e la trappola dell'injection

Questo programma stampa le costanti di tuning ResultSet/Statement che passi quando crei uno statement, poi dimostra concretamente perché l'SQL costruito con stringhe è pericoloso — mostrando cosa fa un valore malevolo al testo del comando.

java— editable, runs on the server

import java.sql.ResultSet;
import java.sql.Statement;

public class JdbcStatementDemo {
  public static void main(String[] args) {
    // A Statement carries a complete, ready-to-run SQL string to the database.
    // The constants you pass when creating one decide how the cursor behaves.
    System.out.println("TYPE_FORWARD_ONLY      = " + ResultSet.TYPE_FORWARD_ONLY);
    System.out.println("TYPE_SCROLL_INSENSITIVE= " + ResultSet.TYPE_SCROLL_INSENSITIVE);
    System.out.println("CONCUR_READ_ONLY       = " + ResultSet.CONCUR_READ_ONLY);
    System.out.println("RETURN_GENERATED_KEYS  = " + Statement.RETURN_GENERATED_KEYS);

// The danger of building SQL by concatenation: a value with a quote
    // breaks out of the literal and changes the meaning of the command.
    String safeName = "Acme";
    String evilName = "x'; DROP TABLE users;--";
    System.out.println("--- string-built SQL ---");
    System.out.println("SELECT * FROM shop WHERE name = '" + safeName + "'");
    System.out.println("SELECT * FROM shop WHERE name = '" + evilName + "'");
    System.out.println("The second query is no longer a single SELECT -- this is SQL injection.");
  }
}

Cosa ricavare dall'esecuzione:

Le costanti del cursore sono semplici int che passi a createStatement. TYPE_FORWARD_ONLY + CONCUR_READ_ONLY è il default e il più economico; chiedi un cursore scrollabile o aggiornabile solo quando ne hai davvero bisogno.
Statement.RETURN_GENERATED_KEYS è il flag che consente a un INSERT di restituirti il nuovo id auto-increment tramite getGeneratedKeys() — senza di esso non puoi recuperare la chiave assegnata dal database.
La prima query concatenata è innocua perché Acme non ha metacaratteri SQL. Questo è esattamente il motivo per cui la concatenazione di stringhe sembra funzionare nei test — e poi si rompe in produzione con input del mondo reale.
Il secondo valore contiene un apice e un punto e virgola, quindi il singolo SELECT previsto diventa un SELECT seguito da un DROP TABLE. Il dato è uscito dai suoi apici ed è diventato SQL eseguibile — la definizione classica di injection.
La soluzione non è mai "fare l'escape degli apici tu stesso". È smettere di costruire SQL dai valori del tutto e lasciare che PreparedStatement invii il template e i dati separatamente — argomento del prossimo capitolo.

Esercitazione

Pratica

Il tuo codice costruisce una query concatenando direttamente un valore di un modulo web nella stringa SQL dopo WHERE owner =. Qual è la correzione corretta?

Usa un PreparedStatement con un segnaposto '?' e associa ownerName come parametroMantieni lo Statement ma racchiudi la query in un blocco try-with-resourcesMantieni lo Statement ma passa da executeQuery a executeMantieni lo Statement e richiedi un cursore CONCUR_UPDATABLE