cc3201-1 b datos o 2017 clase 8: sql...

CC3201-1 BASES DE D ATOS O TOÑO 2017 Clase 8: SQL (IV) Acceso programático Aidan Hogan [email protected]

Upload: others

Post on 20-Aug-2020

2 views

Category:

Documents

0 download

Report

Download

Embed Size (px):

TRANSCRIPT

CC3201-1BASES DE DATOS

OTOÑO 2017

Clase 8: SQL (IV) Acceso programático

Aidan Hogan

[email protected]

ACCESO PROGRAMÁTICO (JAVA):JAVA DATABASE CONNECTIVITY (JDBC)

Capítulo 6 | Ramakrishnan / Gehrke

Page 3: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Java Database Connectivity (JDBC)

Externas

Page 4: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Veamos el ejemplo ApellidoApp.java

Page 5: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Consulta vs. Actualización

• Para hacer consultas (SELECT):

• Para hacer actualizaciones (INSERT; UPDATE, …)

Page 6: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Un problema …

¿Hay algún problema aquí? … no hemos “verificado” el input.

Page 7: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Inyección SQL

• Un usuario malintencionado puede ingresar un stringde entrada para hacer algo inesperado

Page 8: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Inyección SQL (muchas formas)

• Un usuario malintencionado puede ingresar un stringde entrada para hacer algo inesperado

¿Qué hace el ejemplo? ¡Devolverá toda la tabla!

Page 9: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Parece estúpido pero (por ejemplo) …

Page 10: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Más ejemplos …

https://en.wikipedia.org/wiki/SQL_injection

Page 11: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Más ejemplos …

https://en.wikipedia.org/wiki/SQL_injection

Page 12: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

El Jefe de HBGary …

Page 13: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Inyección SQL

¿Cómo podemos resolver el problema?

Page 14: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Inyección SQL: ¿escapar los strings?

Mejor, pero sería complicado implementar la función escapar en un lenguaje de programación general y garantizar que prevente cada tipo de inyección en cada versión (futura) de cada

sistema de BdD dado cualquier tipo de consulta y entrada!

Page 15: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Inyección SQL: ¡sentencias precompiladas!

Mandamos la consulta al sistema de bases de datos y después reemplazar los parámetros con la entrada del usuario

Page 16: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Inyección SQL: ¡sentencias precompiladas!

El sistema de base de datos

La consulta es compilada por el sistema sin la entrara

Page 17: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Inyección SQL: ¡sentencias precompiladas!

El sistema de base de datos

Se reemplaza el parámetro en la sentencia precompilada

(que es un plan en memoria, no un string)

Page 18: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Inyección SQL: ¡sentencias precompiladas!

El sistema de base de datos

Page 19: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Sentencias precompiladas

Se puede reutilizar el PreparedStatement varias veces

(es más eficiente también: se compila la sentenica sólo una vez

Se puede tener varios parámetros con varios tipos

Page 20: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Veamos el ejemplo ApellidoAppSegura.java

Page 21: CC3201-1 B DATOS O 2017 Clase 8: SQL (IV)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-08.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 8: SQL (IV) Acceso programático

Preguntas?

CC3201-1 B DATOS P 2016 Clase 9: SQL (V)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-09.pdf¿Acaso hemos visto todo de SQL? (no) ... guardamos una sub-consulta frecuente

CC3201-1 B DATOS P 2016 Clase 11: Integridad ...aidanhogan.com/teaching/cc3201-1-2016/lectures/BdD2016-11.pdf · CC3201-1 BASES DE DATOS PRIMAVERA 2016 Clase 11: Integridad, Transacciones,

CC3201 Bases de Datos - Aidan Hoganaidanhogan.com/teaching/cc3201-1-2018/lectures/BdD2018-05.pdf · Consultas (no) seguras •Sintácticamente correcta pero … •Pide todas las

CC3201 Bases de Datos - Aidan Hoganaidanhogan.com/teaching/cc3201-1-2018/lectures/BdD2018-14.pdf · CC3201-1 BASES DE DATOS OTOÑO 2018 Clase 14: Conclusión Aidan Hogan [email protected]

CC3201-1 B DATOS P 2016 Clase 5: Álgebra Relacionalaidanhogan.com/teaching/cc3201-1-2016/lectures/BdD2016-05.pdf · Modelo Relacional: Conceptos •Relación: A cada tabla la llamamos

SQL Within PL / SQL Chapter 4. 2 SQL Within PL / SQL SQL Statements DML in PL / SQL Pseudocolums Transaction Control

SQL T-SQL GIT Share SQL GIT Share SQL DacPacT-SQL

MY SQL SQL PL/SQL

CC3201 Bases de Datos - aidanhogan.comaidanhogan.com/teaching/cc3201-1-2018/lectures/BdD2018-07.pdf · CC3201-1 BASES DE DATOS OTOÑO 2018 Clase 7: Actualizaciones, Restricciones,

CC3201 Bases de Datos - Aidan Hoganaidanhogan.com/teaching/cc3201-1-2019/lectures/BdD2019-01.pdf · Una introducción a las bases de datos: •Hay tres tipos típicos de “usuarios”

Справочник SQL, PL/SQL , SQL*P

CC3201 Bases de Datos - Aidan Hoganaidanhogan.com/teaching/cc3201-1-2018/lectures/BdD2018-03.pdf · Modelo E–R: Entidades débiles →Modelo Relacional: No se necesita una tabla

CC3201-1 B DATOS O 2017 Clase 5: SQL (II)aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-05.pdf · INNER JOIN por defecto ... Consultas directas vs. consultas anidadas Nombres

CC3201-1 B DATOS P 2016 Clase 3: Modelo Relacional (II)aidanhogan.com/teaching/cc3201-1-2016/lectures/BdD2016-03.pdf · ¿Si cada Bebida tiene que tener un valor de Stock? ... Algebra

CC3201 Bases de Datosaidanhogan.com/teaching/cc3201-1-2020/lectures/BdD2020-02.pdf · CC3201-1 BASES DE DATOS OTOÑO 2020 Clase 2: Modelo Relacional / Entidad-Relación Aidan Hogan

SQL III y Optimización de Consultas - Aidan Hoganaidanhogan.com/teaching/cc3201-1-2018/lectures/BdD2018-09.pdf · Loop anidado •Optimizaciones: •Terminar antes si se está haciendo

CC3201-1 B DATOS O 2016 Clase 12: Datos …aidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-12.pdf · cero o más valores. Datos son incompletos. Juego de Datos: XML (Arbol)

CC3201 Bases de Datos - Aidan Hoganaidanhogan.com/teaching/cc3201-1-2018/lectures/BdD2018-11.pdf · ejecutaran T 1 y después T 2? 330 y 330 ¿Cuántos serán A y B aquí? 330 y 320

CC3201-1 B DATOS PRIMAVERA 2016

CC3201 Bases de Datos - Aidan Hoganaidanhogan.com/teaching/cc3201-1-2019/lectures/BdD2019-05.pdf · CC3201-1 BASES DE DATOS OTOÑO 2019 Clase 5: El Cálculo Relacional + SQL (I) Aidan

CC3201-1 B DATOS O 2017 Clase 3: ER II y Álgebra Relacionalaidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-03.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 3: ER II y Álgebra

CC3201 Bases de Datos - Aidan Hoganaidanhogan.com/teaching/cc3201-1-2019/lectures/BdD2019-11.pdf · cuáles T haya leído algo. • Si cada transacción T solamente lee cambios de

CC3201 Bases de Datos - Aidan Hoganaidanhogan.com/teaching/cc3201-1-2019/lectures/BdD2019-14.pdf · Examen Final •Nota de eximición: ≥ 5,5 promedio (controles) •1 de julio,

CC3201 Bases de Datos - Aidan Hoganaidanhogan.com/teaching/cc3201-1-2018/lectures/BdD2018-01.pdf · • El cargo de datos todavía es demasiado lento • No hay suficiente memoria

CC3201 Bases de Datos - aidanhogan.comaidanhogan.com/teaching/cc3201-1-2018/lectures/BdD2018-06.pdf · •SELECT, FROM, WHERE • ORDER BY • JOIN (simple) • UNION, INTERSECT,

CC3201 Bases de Datos - Aidan Hoganaidanhogan.com/teaching/cc3201-1-2019/lectures/BdD2019... · 2019-03-21 · CC3201-1 BASES DE DATOS OTOÑO 2019 Clase 3: Modelo Entidad-Relación

CC3201-1 B DATOS O 2017 Clase 10: Transacciones y ACIDaidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-10.pdfel estado de la base de datos •Consistencia: × Al ejecutar la

CC3201 Bases de Datos - aidanhogan.com

CC3201 Bases de Datos - Aidan Hoganaidanhogan.com/.../cc3201-1-2018/lectures/BdD2018-10.pdf · 2018. 7. 9. · CC3201-1 BASES DE DATOS OTOÑO 2018 Clase 10: SQL: Vistas y Disparadores

CC3201-1 B DATOS O 2017 Clase 13: Conclusiónaidanhogan.com/teaching/cc3201-1-2017/lectures/BdD2017-13.pdf · CC3201-1 BASES DE DATOS OTOÑO 2017 Clase 13: Conclusión Aidan Hogan

COURS SQL SQL*Plus PL/SQL

SQL SERVER Transact - SQL SQL SERVER Transact - SQL Kurz SQL SERVER Transact - SQL je určenï뾽 pre ľudï뾽, ktorï뾽 potrebujï뾽 v prostredï뾽 SQL Server zï뾽skavať dï뾽ta

CC3201 Bases de Datos - Aidan Hoganaidanhogan.com/teaching/cc3201-1-2019/lectures/BdD2019-02.pdf · BASES DE DATOS OTOÑO 2019 Clase 2: Modelo Relacional / Entidad-Relación Aidan

SQL Server 2012 - SQL, Transact SQL

CC3201-1 B DATOS P 2016 Clase 14: Datos Semiestructurados: …aidanhogan.com/teaching/cc3201-1-2016/lectures/BdD2016... · 2016-12-07 · CC3201-1 BASES DE DATOS PRIMAVERA 2016 Clase