# Conceptos del lenguaje

## Introducción a JDBC

### ¿Qué es JDBC?

JDBC (Java Database Connectivity) es una API de Java que permite que las aplicaciones interactúen con bases de datos relacionales. Es la solución estándar proporcionada por Java para ejecutar comandos SQL desde un programa Java, como insertar, eliminar, actualizar o consultar datos.

El propósito principal de JDBC es establecer un puente entre el lenguaje Java y bases de datos, facilitando la comunicación y la gestión eficiente de datos.

### ¿Por qué es importante JDBC?

JDBC es esencial por varias razones:
- **Portabilidad:** Funciona con múltiples bases de datos (PostgreSQL, MySQL, Oracle, SQL Server, etc.) gracias a su modelo basado en controladores.
- **Simplicidad:** Proporciona métodos y clases listas para usar que simplifican tareas complejas relacionadas con bases de datos.
- **Flexibilidad:** Permite a los desarrolladores ejecutar comandos SQL directamente o integrarlos en aplicaciones empresariales.

Un ejemplo práctico sería la implementación de un sistema de gestión de inventarios, donde cada cambio en el stock se registra y consulta mediante JDBC.

### Componentes principales de JDBC

1. **DriverManager**:
   - Gestiona los controladores necesarios para conectarse a la base de datos.
   - Es el punto de entrada para obtener una conexión.
   - Ejemplo: `DriverManager.getConnection(url, user, password)`.

2. **Connection**:
   - Representa la conexión física con la base de datos.
   - Permite crear sentencias (statements) para ejecutar comandos SQL.

3. **Statement**:
   - Permite enviar consultas SQL a la base de datos.
   - Hay tres tipos: `Statement`, `PreparedStatement` y `CallableStatement`.

4. **ResultSet**:
   - Contiene los resultados de las consultas SQL.
   - Proporciona métodos para iterar y extraer datos.

### ¿Cómo funciona JDBC?

El proceso general es el siguiente:
1. **Cargar el controlador JDBC**:
   - El controlador JDBC es un archivo `.jar` que permite que Java "hable" con una base de datos específica.
   
2. **Establecer la conexión**:
   - Con `DriverManager` se conecta a la base de datos proporcionando la URL, el usuario y la contraseña.

3. **Enviar consultas SQL**:
   - Se utilizan objetos `Statement` o `PreparedStatement` para ejecutar comandos como `SELECT`, `INSERT`, `UPDATE` o `DELETE`.

4. **Procesar los resultados**:
   - Los resultados se almacenan en un objeto `ResultSet`, que permite iterar y extraer filas y columnas.

5. **Cerrar la conexión**:
   - Es importante liberar recursos cerrando la conexión una vez finalizada la operación.

### Ventajas y Limitaciones de JDBC

**Ventajas:**
- Compatible con múltiples sistemas de bases de datos.
- Es una solución madura y ampliamente documentada.
- Ofrece un nivel alto de control sobre las operaciones de base de datos.

**Limitaciones:**
- No es óptimo para sistemas distribuidos grandes (en esos casos, se usan herramientas como Hibernate o JPA).
- Requiere gestionar manualmente las conexiones y recursos, lo que puede ser propenso a errores.

## Clases principales de JDBC

### `java.sql.DriverManager`

Es una clase que actúa como un intermediario entre tu aplicación Java y los controladores (drivers) JDBC. Su principal función es manejar los controladores y establecer una conexión con la base de datos.

- Gestiona el registro y uso de los controladores JDBC necesarios para conectarse a diferentes bases de datos.
- Proporciona el método `getConnection()`, que se utiliza para obtener un objeto `Connection`.

In [None]:
// Cargar el controlador JDBC
Class.forName("com.mysql.cj.jdbc.Driver");

// Establecer la conexión
String url = "jdbc:mysql://localhost:3306/mi_base_datos";
String usuario = "usuario";
String password = "contraseña";
Connection conexion = DriverManager.getConnection(url, usuario, password);

### `java.sql.Connection`

Representa la conexión activa entre tu aplicación y la base de datos. Una vez establecida, puedes usar este objeto para ejecutar comandos SQL y manejar transacciones.

- Es la base para interactuar con la base de datos.
- Permite crear diferentes tipos de statements.
- Se puede utilizar para habilitar transacciones manuales (desactivar el autocommit con `conn.setAutoCommit(false)`)
- Siempre debe cerrarse al finalizar para liberar recursos.

In [None]:
// Crear una conexión
Connection conexion = DriverManager.getConnection(url, usuario, password);

// Crear statements
Statement stmt = conexion.createStatement();
PreparedStatement pstmt = conexion.prepareStatement("SELECT * FROM usuarios WHERE id = ?");

// Cerrar la conexión
conexion.close();

#### Cadenas de conexion (url) para conectarse a la base de datos usando JDBC

Las **cadenas de conexión JDBC** son fundamentales para establecer una conexión entre tu aplicación Java y la base de datos. Son básicamente una URL que contiene toda la información necesaria para identificar y conectarse a la base de datos.

`jdbc:[subprotocolo]:[subnombre]`

- `jdbc`: Es el protocolo estándar que indica que estás usando JDBC.
- `subprotocolo`: Es el nombre del controlador para el sistema de base de datos (por ejemplo, `mysql`, `postgresql`, `oracle`).
- `subnombre`: Contiene detalles específicos sobre cómo localizar la base de datos, como la dirección del servidor, el puerto y el nombre de la base de datos.

#### Ejemplos comunes de cadenas de conexión

| DBMS | Cadena de Conexión |
| --- | --- |
| MySQL | `jdbc:mysql://localhost:3306/school` |
| PostgreSQL | `jdbc:postgresql://localhost:5432/school` |
| SQL Server | `jdbc:sqlserver://localhost:1433;databaseName=school` |
| Oracle | `jdbc:oracle:thin:@localhost:1521:xe` |

### `java.sql.Statement`

 Es la clase responsable de enviar comandos SQL a la base de datos. Proporciona métodos para ejecutar tanto instrucciones que modifican datos (como `INSERT`, `UPDATE` y `DELETE`) como consultas (`SELECT`).

 - Ideal para ejecutar comandos SQL simples.
 - Existen tres tipos de `Statements`:
    - `Statement`: para consultas simples
    - `PreparedStatement`: para consultas parametrizadas
    - `CallableStatement`: para procedimientos almacenados

In [None]:
// Statement simple
Statement stmt = conexion.createStatement();
ResultSet rs = stmt.executeQuery("SELECT * FROM productos");

// PreparedStatement
PreparedStatement pstmt = conexion.prepareStatement("INSERT INTO usuarios (nombre, email) VALUES (?, ?)");
pstmt.setString(1, "Juan Pérez");
pstmt.setString(2, "juan@ejemplo.com");
pstmt.executeUpdate();

##### `java.sql.PreparedStatement`

Es una subclase de `Statement` diseñada para ejecutar comandos SQL de forma más segura y eficiente. Permite parametrizar las consultas, eliminando el riesgo de inyección SQL.

- Evita inyecciones SQL al separar los datos de las consultas.
- Mejora el rendimiento con consultas reutilizables.

In [None]:
String sql = "SELECT * FROM students WHERE age > ?";
PreparedStatement pstmt = conn.prepareStatement(sql);
pstmt.setInt(1, 20); // Establece el valor del parámetro

ResultSet rs = pstmt.executeQuery();
while (rs.next()) {
    System.out.println("Nombre: " + rs.getString("name"));
}


#### `java.sql.CallableStatement`

Es una interfaz de JDBC que permite ejecutar procedimientos almacenados (stored procedures) en la base de datos. Es muy útil para manejar tareas más complejas, ya que los procedimientos almacenados encapsulan lógica SQL reutilizable directamente en el servidor de la base de datos.

- Se usa para invocar procedimientos almacenados que pueden tener parámetros de entrada (`IN`), salida (`OUT`) o ambos.
- Permite manejar lógica avanzada y mejorar el rendimiento moviendo parte de la lógica a la base de datos.

In [None]:
// Preparar el CallableStatement
String sql = "{CALL GetStudentNameByID(?, ?)}";
CallableStatement cstmt = conn.prepareCall(sql);

// Configurar parámetros de entrada y salida
cstmt.setInt(1, 1); // Parámetro de entrada (ID del estudiante)
cstmt.registerOutParameter(2, Types.VARCHAR); // Parámetro de salida (Nombre del estudiante)

// Ejecutar el procedimiento almacenado
cstmt.execute();

// Obtener el valor del parámetro de salida
String studentName = cstmt.getString(2);
System.out.println("Nombre del estudiante: " + studentName);

### `java.sql.ResultSet`

Es una representación de los resultados devueltos por una consulta SQL. Actúa como un cursor que permite recorrer los datos fila por fila.

- Contiene los resultados de una consulta SQL
- Permite navegar por los resultados fila por fila
- Proporciona métodos como `next()`, `getString()`, `getInt()`, etc., para acceder a los datos.
- Solo permite moverse hacia adelante en los resultados, aunque hay opciones avanzadas para hacerlo bidireccional.

In [None]:
// Ejecutar una consulta
Statement stmt = conexion.createStatement();
ResultSet rs = stmt.executeQuery("SELECT * FROM empleados");

// Procesar los resultados
while (rs.next()) {
    int id = rs.getInt("id");
    String nombre = rs.getString("nombre");
    double salario = rs.getDouble("salario");
    System.out.println("ID: " + id + ", Nombre: " + nombre + ", Salario: " + salario);
}

## Mejores prácticas

### 1. Uso de try-with-resources

In [None]:
try (var conn = DriverManager.getConnection(url, usuario, password);
     var pstmt = conn.prepareStatement("SELECT * FROM productos")) {
    ResultSet rs = pstmt.executeQuery();
    // Procesar resultados
} catch (SQLException e) {
    e.printStackTrace();
}

### 2. Manejo de transacciones

In [None]:
Connection conn = null;
try {
    conn = DriverManager.getConnection(url, usuario, password);
    conn.setAutoCommit(false);  // Desactivar auto-commit
    
    // Realizar operaciones
    PreparedStatement pstmt1 = conn.prepareStatement("INSERT INTO ventas (producto_id, cantidad) VALUES (?, ?)");
    pstmt1.setInt(1, 1);
    pstmt1.setInt(2, 10);
    pstmt1.executeUpdate();
    
    conn.commit();  // Confirmar transacción
} catch (SQLException e) {
    if (conn != null) {
        conn.rollback();  // Revertir cambios en caso de error
    }
    e.printStackTrace();
}

### 3. Prevención de **SQL Injection**

In [None]:
// ❌ Mal: vulnerable a SQL Injection
String query = "SELECT * FROM usuarios WHERE username = '" + username + "'";
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery(query);

// ✅ Bien: usando PreparedStatement
String query = "SELECT * FROM usuarios WHERE username = ?";
PreparedStatement pstmt = conn.prepareStatement(query);
pstmt.setString(1, username);
ResultSet rs = pstmt.executeQuery();

**SQL injection** es una vulnerabilidad de seguridad que afecta a aplicaciones que interactúan con bases de datos mediante instrucciones SQL. Ocurre cuando un atacante logra introducir código malicioso en las consultas SQL de una aplicación, aprovechando la falta de validación de entradas en los campos de usuario (como formularios o URL). Esto puede llevar a acceso no autorizado, manipulación de datos e incluso control completo de la base de datos.

#### ¿Cómo funciona SQL injection?

Supongamos que tienes una consulta SQL en tu código para autenticar usuarios:

In [None]:
String sql = "SELECT * FROM users WHERE username = '" + username 
             + "' AND password = '" + password + "'";

Si el atacante introduce algo malicioso en el campo de contraseña, como: `' OR '1'='1`, la consulta final quedaría así:

In [None]:
SELECT * FROM users WHERE username = 'admin' AND password = '' OR '1'='1';

En este caso, la condición siempre es verdadera, permitiendo que el atacante inicie sesión sin conocer la contraseña.

#### Consecuencias de una SQL injection

1. **Acceso no autorizado**: El atacante puede iniciar sesión sin credenciales válidas.
1. **Robo de información**: Puede acceder a datos sensibles como nombres, contraseñas y correos electrónicos.
1. **Modificación de datos**: Cambiar o eliminar datos importantes.
1. **Ataques de denegación de servicio (DoS)**: Al ejecutar consultas que sobrecargan el servidor.
1. **Compromiso total del sistema**: En algunos casos, el atacante puede ejecutar comandos a nivel del servidor.


#### Cómo prevenir SQL injection

1. **Uso de PreparedStatement**: Utiliza consultas parametrizadas para separar el código SQL de los datos de entrada
1. **Validación de entradas**: Verifica y filtra las entradas del usuario antes de usarlas en consultas.
1. **Evitar concatenación de cadenas en SQL**: No construyas consultas SQL directamente con los datos del usuario.
1. **Usar ORM (Object-Relational Mapping)**: Herramientas como Hibernate ayudan a evitar estas vulnerabilidades al abstraer las consultas SQL.
1. **Configura permisos adecuados en la base de datos**: Limita los privilegios de los usuarios de la aplicación para que no puedan ejecutar comandos peligrosos.

## Ejemplo

Primero necesitas agregar el driver de PostgreSQL a tu proyecto. Puedes descargarlo desde Maven o agregarlo a tu `pom.xml`:

In [None]:
<dependency>
    <groupId>org.postgresql</groupId>
    <artifactId>postgresql</artifactId>
    <version>42.6.0</version>
</dependency>

Código de ejemplo

In [None]:
var departmentId = 10;
var employees = new ArrayList<Employee>();

// Establecer parametros para la conexión
var url = "jdbc:postgresql://localhost:5432/hr";
var user = "postgres";
var password = "contraseña";

try {
    // Cargar el driver
    Class.forName("org.postgresql.Driver");
    
    
    try (var conn = DriverManager.getConnection(url, user, password);
            var pstmt = conn.prepareStatement("SELECT * FROM empleados WHERE departamento_id = ?")) {

        pstmt.setInt(1, departmentId);

        try (var rs = pstmt.executeQuery()) {
            while (rs.next()) {
                var employee = new Employee(
                    rs.getInt("id"),
                    rs.getString("nombre"),
                    rs.getString("apellido"),
                    rs.getDouble("salario"),
                    rs.getString("departamento")
                );
                employees.add(employee);
            }
        }
    }
    
} catch (ClassNotFoundException e) {
    System.err.println("Error: No se encontró el driver de PostgreSQL");
    e.printStackTrace();
} catch (SQLException e) {
    System.err.println("Error: No se pudo conectar a la base de datos");
    e.printStackTrace();
}

return Employees;