blog.qualys.com

⇧ Linuxで「CVE-2021-33909」っていう脆弱性が公開されて、 

japan.zdnet.com

⇧ Windowsでも「CVE-2021-36934」っていう脆弱性が公開されましたと。

というか、

• 2021-7-13
  • CVE-2021-33909
• 2021-7-20
  • CVE-2021-36934

1週間の間に、3025個の脆弱性が見つかってるっていうのが衝撃的なんですけど... 

これ、見つかってないだけで、潜在的な脆弱性の数は膨大なのではないかという気がしてならないのだが…

「パンドラの箱」のように希望が残るんなら良いけども...

まぁ、何て言うか、頑張ってWindows Updateしてきたのに意味無いやん...

脱線しましたが、今回は、Javaでデータベースを操作する時に利用される「JDBC（Java Database Connectivity）」のAPIについて調べてみました。

レッツトライ～。

 

JDBC（Java Database Connectivity）とは？

Oracleさんが公開してくれているドキュメントによると（Java SE 1.3とか情報がだいぶ旧そうなんだけど...）、Java SEで用意されてる標準APIの1つである「JDBC API」ってものらしい。

⇧ JavaからSQL文を実行した結果が「ResultSet」に格納されてるってことだと思うんだけど、SQL文を実行した結果に対していろいろ操作とかするメソッドとかも用意されてるってことなんすかね？

で、Java SE 1.4 とかの説明だと、

⇧「ResultSet」は、「RDB（Relational DataBase）」のデータをJavaで扱える形にしてるんだと。

何て言うか、ドキュメントの記載が、ミスリードを引き起こしやすい書きっぷりになってるのが、まずもって宜しくない気がするんよね。

後述するんだけど、そもそもとして、ドキュメントの内容が、SQLクエリーの実行結果としてデータベースのテーブルからデータを取得できなかった場合についてを考慮した書き方になってないんよね...

ちなみに、

⇧ ってな感じで、「Addison Wesley 社」から出版された書籍に基づいた情報ですって言ってるんだけど、Javaを管理してたのってOracleさんだと思うんだけど、何故に他人事って感じなのかね...

 

正常に実行されたexecuteQueryはNULLを返すことはない 

「ResultSet」に実際に値を格納するには、「executeQuery」でSQL文を実行するってことになると思うんだけど、

stackoverflow.com

⇧ 上記サイト様によりますと、「ResultSet」がNULLになることは無いんですと。

確かに、Java SE 7のAPIのドキュメントに「戻り値はNULLになることは決して無い、決してな」って書いてありますと。

まぁ、ただ、SQL文が間違ってたりした場合は、「SQLException」を起こすし、JDBCドライバーが接続でタイムアウトしたら「SQLTimeoutExcetion」を起こすと言ってますと。

なので、例外が起きない限りにおいては、という条件を前提とした上での「戻り値がNULLになることは絶対に無い、絶対にな」ってことらしい。

ちなみに、SQL文は大まかに分けて、

⇧ ってなっていますと。

で、よくアプリケーション開発とかだと、データを扱う機能をCRUDと呼んだりすることもあるらしいんだけど、

⇧ CRUDは上記のようなものですと。

で、SQL文のほうに話を戻すと、「データ操作言語（DML: data manipulation language）」の4つが、CRUDを実現してるってことになるっぽいんだけど、

• 参照系
  • SELECT
• 更新系
  • INSERT
  • UPDATE
  • DELETE

みたいな感じで、「参照系」と「更新系」って分けて考えることが多いですかね。

ちなみに、CRUDとSQLの対応は、

CRUD	SQL
Create	INSERT
Read	SELECT
Update	UPDATE
Delete	DELETE

⇧ てな感じになりますかね。

「ResultSet」に格納されるのは、「参照系」である「SELECT文」の「SQL文」が「executeQuery」メソッドで実行される時ってことになりますかね。 

 

正常に実行されたexecuteQueryの結果を受け止めるResultSetの罠

で、ここで、罠が待ち構えているわけですな。

例えば、「executeQuery」で実行するSQL文がSELECT文とかで、「RDB（Relational DataBase）」の何かしらのテーブルからデータを取得するものだった場合、且つ、例外が発生しない場合、

1. SQLクエリーの実行結果で格納されたデータが存在する場合
2. SQLクエリーの実行結果で格納されたデータが存在しない場合

のどっちかの結果になると思うんだけど、当然、「executeQuery」の結果を格納する「ResultSet」は「NULLになることは無い」となるんだけど、「2.SQLクエリーの実行結果で格納されたデータが存在しない場合」のケースは、「ResultSet」に格納されるデータの行数が0って状態になっていると思われるんすよ。

残念ながら、ドキュメントには明示されてないんで、「2.SQLクエリーの実行結果で格納されたデータが存在しない場合」のケースは、「ResultSet」に格納されるデータの行数が0 っていう前提が成立するっていう仮定を行った時に、その仮定が矛盾しないという体で話を進めることにします。

そして、「ResultSet」には、

⇧ 上記の説明にあるように、データを1行1行取得するために、「カーソル」を移動させる仕組みが用意されてるんですが、0行（「2.SQLクエリーの実行結果で格納されたデータが存在しない場合」）であっても、nextメソッドはエラーになることは無いんですな。

nextメソッドってのは、 

⇧ ってあるので、

• 行が存在する場合
  boolean値のtrueを返す
• 行が存在しなかった場合
  boolean値のfalseを返す

ってことになるんではないかと。

「executeQuery」が「NULLを返すことは絶対に無い」ってあったと思うんだけど、「SELECT文」の「SQL文」によってデータベースのテーブルからデータが1件も取得できなかった場合は、「ResultSet」の nextメソッドは、問答無用でfalseを返すってことになるんじゃないかと。

このあたり、SELECT文の取得結果が0件のケースがどういう扱いになるのかドキュメントで明示してくれても良い気がするんだが...流石はOracleさん、安定の不親切さ。

長々と脱線したんだけど、「executeQuery」を実行したSELECT文で取得できるオブジェクトの件数が、1行分だろうと、複数行分だろうと、

String sql = "何かしらのSELECT文";
ResultSet rs = stmt.executeQuery(sql);
while (rs.next()) {
  // 「executeQuery」を実行したSELECT文で取得できた行数が0件で無い場合の処理
  
}

⇧ ってな感じで、while文で処理してしまえば良いんじゃなかろうか？

まぁ、何が言いたいかというと、ResultSetのnextメソッドがfalseの場合に、ResultSet のgetXXXみたいなメソッドを使うとエラーが起きるってことですかね。

あと、コード例には記述してなかったんだけど、closeをちゃんとしてあげた方が良いということですかね。

qiita.com

 

というわけで、もうちょっとドキュメントをしっかり記述して欲しいかな、という気がするんだけどね... 

まぁ、何が言いたいかと言うと、Javaのバージョンアップで機能を増やしてくれるのはありがたいんだけど、その前にちゃんとドキュメントを整備して欲しい...

「JDBC（Java Database Connectivity）」周りのAPIについては、フレームワークが隠蔽してくれて、意識しなくても良いのかもしらんけどさ...

毎度、モヤモヤ感しか残らんな...

今回はこのへんで。