El uso de JPA Criteria nos aporta muchas ventajas en cuanto a la construcción de SQL Dinámico utilizando JPA . Ahora bien su su sintaxis y su forma de trabajar son bastante diferentes a la forma clásica. Vamos a apoyarnos en el ejemplo anterior de JPA SQL Injection para construir el mismo ejemplo utilizando JPA Criteria . En el ejemplo anterior teníamos el siguiente código:
</p>
<p>package com.arquitecturajava;</p>
<p>import java.util.List;</p>
<p>import javax.persistence.EntityManager;<br>
import javax.persistence.EntityManagerFactory;<br>
import javax.persistence.Persistence;<br>
import javax.persistence.TypedQuery;</p>
<p>public class Principal {</p>
<p> public static void main(String[] args) {</p>
<p> seleccionarPersona("pedro", "perez");</p>
<p> }</p>
<p> private static void seleccionarPersona(String nombre, String apellidos) {<br>
EntityManagerFactory emf = Persistence.createEntityManagerFactory("UnidadPersonas");<br>
EntityManager em = emf.createEntityManager();<br>
try {<br>
String sql = "select p from Persona p ";<br>
if (nombre != null || apellidos != null) {<br>
sql += " where ";<br>
}<br>
if (nombre != null) {</p>
<p> sql += " nombre='" + nombre + "'";<br>
}<br>
if (apellidos != null) {</p>
<p> if(nombre!=null) {<br>
sql += " and apellidos='" + apellidos + "'";<br>
}else{</p>
<p> sql += " apellidos='" + apellidos + "'";<br>
}</p>
<p> }</p>
<p> TypedQuery<Persona> consulta = em.createQuery(sql, Persona.class);</p>
<p> List<Persona> lista = consulta.getResultList();<br>
lista.forEach((p) -> {</p>
<p> System.out.println(p.getNombre());</p>
<p> });<br>
} catch (Exception e) {</p>
<p> e.printStackTrace();<br>
} finally {<br>
em.close();</p>
<p> }<br>
}<br>
}</p>
<p>El código nos generaba una SQL dinámica pero ya habíamos visto que si cambiamos los parámetros e intentabamos inyectar SQL , podríamos generar un agujero de seguridad.
JPA Criteria API
Para solventar este problema que se genera a partir de la necesidad de construir SQL Dinámico podemos recurrir al API de Criteria y diseñar la consulta con ella.
</p>
<p>package com.arquitecturajava;</p>
<p>import java.util.List;</p>
<p>import javax.persistence.EntityManager;<br>
import javax.persistence.EntityManagerFactory;<br>
import javax.persistence.Persistence;<br>
import javax.persistence.criteria.CriteriaBuilder;<br>
import javax.persistence.criteria.CriteriaQuery;<br>
import javax.persistence.criteria.Predicate;<br>
import javax.persistence.criteria.Root;</p>
<p>public class Principal2 {</p>
<p> public static void main(String[] args) {</p>
<p> seleccionarPersonas("pedro","perez");</p>
<p> }</p>
<p> private static void seleccionarPersonas(String nombre, String apellidos) {<br>
EntityManagerFactory emf = Persistence.createEntityManagerFactory("UnidadPersonas");<br>
EntityManager em = emf.createEntityManager();<br>
try {</p>
<p> CriteriaBuilder cb = em.getCriteriaBuilder();</p>
<p> CriteriaQuery<Persona> consulta = cb.createQuery(Persona.class);</p>
<p> Root<Persona> personas = consulta.from(Persona.class);<br>
Predicate p1 = null,p2 = null;</p>
<p> if(nombre!=null) {</p>
<p> p1= cb.equal(personas.get("nombre"),"pedro");<br>
}</p>
<p> if(apellidos!=null) {</p>
<p> p2= cb.equal(personas.get("apellidos"),"perez");<br>
}</p>
<p> Predicate nombreApellidos=cb.or(p1,p2);</p>
<p> consulta.select(personas).where(nombreApellidos);</p>
<p> List<Persona> lista = em.createQuery(consulta).getResultList();<br>
lista.forEach((p) -> {</p>
<p> System.out.println(p.getNombre());</p>
<p> });<br>
} catch (Exception e) {</p>
<p> e.printStackTrace();<br>
} finally {<br>
em.close();</p>
<p> }<br>
}<br>
}</p>
<p>¿Como funciona exactamente el API de Criteria? . Este API se encarga de diseñar la consulta a través de un Builder, un patrón de diseño que construye un objeto paso a paso
A través de estos pasos se construye el objeto por complejo verificando que todo es correcto. Este es el enfoque JPA Criteria API , vamos construyendo poco a poco cada trazo.
Para después ejecutar esa consulta construida utilizando el EntityManager:
De tal forma que si invocamos la consulta y pasamos los siguientes parámetros
seleccionarPersonas(“pedro”,”perez”);
La consulta se ejecutara sin problemas :
Como el API de Criteria valida cada parámetro , tampoco tendremos problemas si nos inyectan código no válido.
seleccionarPersonas(“pedro”,“”='”);
El Api de Criteria se encargará de revisarlo y generar la consulta parametrizada correcta.
No sufriremos una inyección de SQL.
Otros artículos relacionados:
Usando este segundo enfoque, si la consulta requiere 2 o mas entidades, como se agregan?
gracias.
Con la clausula join 🙂
Hola, gracias por el articulo…tengo una pregunta.
¿En criteria hay evaluación perezosa?, ¿en que orden??
En… Predicate nombreApellidos=cb.or(p1,p2);
¿Es el primer parametro p1 el que prevalece?, ¿es p1 el que si es evaluado a cierto hace que no se evalúe p2?
No , ya que se va construyendo dinamicamente la query y esta es la que se ejecuta completa
Gracias.. por tan excelentes artículos
De nada 🙂