Fondamentaux des bases de données et Java

Questions and Answers

Quelle option utilise correctement l'interface Predicate pour définir la condition de manière dynamique?

• public List findMatchingElements(Collection collection, Predicate condition) (correct)
• public List findMatchingElements(Collection collection, String condition)
• public void findMatchingElements(Collection collection, Object condition)
• public List findMatchingElements(Object collection, String condition)

Quel composant est responsable de la récupération des données dans une implémentation MVC + DAO?

• Le DAO (Data Access Object) (correct)
• Le Modèle
• Le Contrôleur
• La Vue

Quel est l'un des principaux avantages d'utiliser des enums dans le développement logiciel?

• Ils peuvent contenir des méthodes et des attributs complexes.
• Ils remplacent complètement les classes et les interfaces.
• Ils sont faciles à modifier à tout moment.
• Ils offrent une sécurité de type et améliorent la lisibilité. (correct)

Comment un programmeur peut-il prévenir une vulnérabilité d'injection SQL lors de la mise à jour d'un statut dans la base de données?

En utilisant des instructions préparées. (D)

Quelle est la faiblesse de sécurité significative lors de l'utilisation de Integer.parseInt() pour convertir un ID de commande?

Cela peut provoquer une exception de conversion de type. (D)

En général, quel rôle joue le contrôleur dans le schéma MVC?

Il reçoit les entrées, exécute la logique métier et partage les résultats avec la vue. (A)

Pourquoi est-il conseillé de valider les entrées utilisateur dans une application Java?

Pour éviter les conversions de type inattendues. (B)

Quel est le but principal d'utiliser des instructions préparées lors de l'accès aux bases de données?

Prévenir les attaques d'injection SQL. (B)

Quel extrait de code Java représente correctement un DAO qui récupère tous les produits de la base de données ?

List retrieveAllProducts() { String sql = 'SELECT productId, productName, price FROM products;'; PreparedStatement stmt = conn.prepareStatement(sql); ResultSet rs = stmt.executeQuery(); List products = new ArrayList(); while (rs.next()){ products.add(new Product(rs.getInt(1), rs.getString(2), rs.getDouble(3))); } return products; } (C)

Quelle option explique pourquoi l'Option A est incorrecte dans le contexte du DAO ?

Elle n'utilise pas de PreparedStatement, ce qui pourrait causer des problèmes d'injection SQL. (C), Elle ne récupère pas correctement les types d'objets depuis le ResultSet. (D)

Quelle méthode permettrait de paramétrer un condition dans une méthode générique pour parcourir une collection ?

public <E> void findElements(Collection<E> collection, Predicate<E> condition) (D)

Qu'est-ce qui rend l'Option C incorrecte dans le DAO ?

Elle se fonde sur une méthode personnalisée pour récupérer les données. (A), Elle n'utilise pas PreparedStatement, ce qui rend l'accès à la base de données vulnérable. (B)

Pourquoi l'utilisation de PreparedStatement est-elle essentielle dans les DAO ?

Il protège contre les attaques d'injection SQL. (A)

Quel est l'avantage d'utiliser des générics dans les méthodes ?

They allow for compile-time type safety. (B)

Dans le contexte des DAO, quelle est une pratique recommandée pour gérer les ressources ?

Utiliser un bloc finally pour fermer toujours les ResultSet. (C)

Quelle déclaration est vraie concernant le fonctionnement des ResultSet ?

Les ResultSet fournissent un moyen de naviguer à travers les données récupérées de manière itérative. (C)

Flashcards

PreparedStatement

Une PreparedStatement est utilisée pour exécuter des requêtes SQL de manière paramétrée. Elle protège contre les injections SQL et améliore la sécurité des données.

DAO

Un DAO (Data Access Object) est un modèle de conception qui encapsule l'accès aux données d'une base de données. Il sépare la logique d'accès aux données de la logique métier de l'application.

Génériques en Java

Les génériques en Java permettent de créer des classes et des méthodes qui fonctionnent avec différents types de données sans avoir à spécifier le type réel au moment de la compilation.

MVC

Le modèle MVC (Modèle-Vue-Contrôleur) est un modèle de conception architectural qui sépare l'application en trois composants distincts. Le modèle gère les données, la vue affiche le résultat, et le contrôleur gère les interactions entre les deux.

Injection SQL

L'injection SQL est une vulnérabilité de sécurité qui permet aux attaquants d'exécuter des commandes SQL non autorisées en injectant du code malveillant dans les entrées de l'utilisateur.

Enumérations en Java

Une énumération en Java permet de définir un type de données avec un ensemble de valeurs nommées. Elle garantit que les valeurs sont valides et améliore la lisibilité du code.

retrieveAllProducts

Dans le contexte des DAO, la méthode retrieveAllProducts est une méthode responsable de la récupération de tous les produits stockés dans la base de données. Elle renvoie généralement une liste de tous les produits.

ResultSet

Un ResultSet est un objet en Java qui contient les données récupérées d'une base de données après l'exécution d'une requête SQL. Il fournit des méthodes pour accéder et itérer sur les données.

Quelle est la meilleure option pour une méthode générique de recherche d'éléments correspondants dans une collection ? (Utilisez une interface Predicate)

L'interface Predicate permet de définir une condition générique sur le type E de manière dynamique, tandis que l'option A ne permet pas de définir une condition générique de manière adéquate.

Quel composant d'une application MVC + DAO est responsable de la récupération des données de la base de données ?

Le DAO (Data Access Object) est un composant qui s'occupe de la récupération et de la manipulation des données dans une base de données. Il agit comme un intermédiaire entre l'application et la base de données.

Quel est l'usage principal des enums dans le développement logiciel ?

Les enums (énumérations) offrent une manière type-safe et lisible de représenter un ensemble fini de valeurs. Elles garantissent que les valeurs possibles d'un type de données sont limitées et bien définies.

Comment prévenir une injection SQL potentielle lorsqu'une application MVC reçoit une chaîne de caractères représentant un statut de commande et l'utilise pour mettre à jour la base de données ?

Les Prepared Statements sont une technique de sécurité qui protège contre les injections SQL. Ils permettent de préparer des requêtes SQL en amont, en sécurisant l'injection de valeurs potentiellement dangereuses.

Quelle faiblesse de sécurité potentielle existe lorsque l'on utilise Integer.parseInt() pour convertir un identifiant de commande reçu du client en un entier ?

L'appel de Integer.parseInt() sur une chaîne de caractères représentant un identifiant de commande peut entraîner une exception de conversion de type si la chaîne contient des données non numériques. Un utilisateur malveillant pourrait exploiter cette faille et provoquer un comportement inattendu du programme. Il est important de valider les données d'entrée pour éviter cette situation.

Study Notes

Multiple Choice Questions on Database Fundamentals, Generics, MVC+DAO, and Java Enumerations

• Question 1

• Contexte: Une application Java utilise une base de données pour stocker des informations sur les produits. La classe Product possède des attributs comme productId, productName et price.

• Question: Quel extrait de code Java, représentant un DAO (Data Access Object), récupère correctement tous les produits de la base de données, en supposant une implémentation JDBC ?

// Option A
List retrieveAllProducts() {
    String sql = "SELECT * FROM products;";
    ResultSet rs = stmt.executeQuery(sql);
    List products = new ArrayList();
    while(rs.next()){ products.add(rs.getObject(Product)); }
    return products;
}

// Option B
List retrieveAllProducts() {
    String sql = "SELECT productId, productName, price FROM products;";
    PreparedStatement stmt = conn.prepareStatement(sql);
    ResultSet rs = stmt.executeQuery();
    List products = new ArrayList();
    while (rs.next()){ products.add(new Product(rs.getInt(1), rs.getString(2), rs.getDouble(3))); }
    return products;
}

// Option C
List retrieveAllProducts() {
    PreparedStatement;

    String sql = "SELECT productId, productName, price FROM products;";
    ResultSet rs = retrieveData(sql); //Supposons une fonction personnalisée retrieveData
    List products = new ArrayList();
    while (rs.next()){
        products.add(new Product(rs.getInt(1), rs.getString(2), rs.getDouble(3)));
    }
    return products;
}

• Réponse correcte: Option B

• Explication: L'option B utilise correctement PreparedStatement et gère l'ensemble de résultats pour créer des objets Product. L'option A est incorrecte car elle pose des problèmes potentiels avec rs.getObject() qui ne mappe pas les types correctement et manque le PreparedStatement crucial. L'option C est incorrecte en raison de l'absence de gestion de PreparedStatement, élément essentiel pour prévenir les injections SQL.

• Question 2

• Contexte: Considérez une méthode générique pour trouver tous les éléments d'une collection qui satisfont une certaine condition.

• Question: Quelle est la façon la plus appropriée de paramétriser la condition à l'aide de génériques ?

• Option A:

  public  List findMatchingElements(Collection collection, String condition)
  

• Option B:

  public  List findMatchingElements(Collection collection,
  Predicate condition)
  

• Réponse correcte: B

• Explication: L'option B utilise l'interface Predicate pour définir la condition dynamiquement sur le type E ; l'option A n'implémenterait pas correctement une telle condition générique.

• Question 3

• Contexte: Une application Java utilisant le modèle MVC (Model-View-Controller) interagit avec une base de données via un DAO.

• Question: Quel composant est responsable de la récupération des données de la base de données dans une implémentation MVC + DAO ?

• Réponse correcte: Le composant DAO (Data Access Object) récupère les données.

• Question 4

• Contexte: Un énumération Java définit les types de commandes avec les valeurs suivantes : ORDER_PENDING, ORDER_PROCESSING, ORDER_COMPLETED.

• Question: Quel est l'utilisation courante des énumérations en développement logiciel ?

• Réponse correcte: Les énumérations fournissent une sécurité de type et une lisibilité lorsqu'on travaille avec des ensembles de valeurs limités, comme l'état d'une commande.

• Question 5 (Délicate)

• Contexte: Une méthode de contrôleur dans votre application MVC reçoit une chaîne représentant l'état d'une commande, puis utilise un DAO pour mettre à jour l'état dans la base de données.

• Question: Comment un programmeur peut-il prévenir un problème d'injection SQL lors de ce processus ?

• Réponse correcte: Utiliser les Prepared Statements pour éviter les vulnérabilités d'injection SQL. L'utilisation de la concaténation de chaînes pour construire dynamiquement des requêtes SQL est dangereuse.

• Question 6 (Délicate)

• Contexte: Un client envoie une chaîne représentant un ID de commande numérique. Dans votre classe DAO, vous utilisez Integer.parseInt() pour convertir cela en un entier.

• Question: Quelle est la faille de sécurité majeure susceptible d'être déclenchée par cette conversion ?

• Réponse correcte: Le code est vulnérable à une exception de conversion de type issue d'une entrée qui n'est pas un entier. Un utilisateur malveillant pourrait entrer des données non numériques, entraînant un comportement inattendu du programme. Une validation appropriée (par exemple, vérifier un format numérique valide) est nécessaire.