Merge pull request #153 from domaframework/literal-support-for-builder

nakamura-to · web-flow · commit b30e9bf190fe · 2016-06-18T11:53:19.000+09:00
クエリビルダでリテラルの埋め込みをサポート
diff --git a/docs/sources/query-builder/index.rst b/docs/sources/query-builder/index.rst
@@ -15,7 +15,13 @@
 どのクエリビルダも、インスタンスは ``Config`` 型の引数をとる
 ``static`` な ``newInstance`` メソッドで生成できます。
 インスタンスには、 ``sql`` メソッドでSQL文字列の断片を、
-``param`` メソッドでパラメータの型とパラメータを渡せます。
+``param`` メソッドと ``literal`` メソッドでパラメータの型とパラメータを渡せます。
+
+``param`` メソッドで渡されたパラメータは ``PreparedStatement`` のバインド変数として扱われます。
+
+``literal`` メソッドで渡されたパラメータはSQLにリテラルとして埋め込まれます。
+このメソッドでパラメータが渡された場合、SQLインジェクション対策としてのエスケープ処理は実施されません。
+しかし、SQLインジェクションを防ぐためにパラメータの値にシングルクォテーションを含めることは禁止しています。
 
 検索
 ====
@@ -33,6 +39,8 @@
   builder.sql("salary");
   builder.sql("from Emp");
   builder.sql("where");
+  builder.sql("job_type = ").literal(String.class, "fulltime");
+  builder.sql("and");
   builder.sql("name like ").param(String.class, "S%");
   builder.sql("and");
   builder.sql("age > ").param(int.class, 20);
diff --git a/src/main/java/org/seasar/doma/jdbc/builder/BuildingHelper.java b/src/main/java/org/seasar/doma/jdbc/builder/BuildingHelper.java
@@ -15,7 +15,7 @@
  */
 package org.seasar.doma.jdbc.builder;
 
-import static org.seasar.doma.internal.util.AssertionUtil.*;
+import static org.seasar.doma.internal.util.AssertionUtil.assertUnreachable;
 
 import java.util.ArrayList;
 import java.util.LinkedList;
@@ -72,18 +72,18 @@ List<Param> getParams() {
 
     SqlNode getSqlNode() {
         StringBuilder buf = new StringBuilder(200);
-        @SuppressWarnings("unused")
-        int index = 1;
         for (Item item : items) {
             switch (item.kind) {
             case SQL:
                 buf.append(item.sql);
                 break;
             case PARAM:
                 buf.append("/*");
+                if (item.param.literal) {
+                    buf.append("^");
+                }
                 buf.append(item.param.name);
                 buf.append("*/0");
-                index++;
                 break;
             default:
                 assertUnreachable();
diff --git a/src/main/java/org/seasar/doma/jdbc/builder/DeleteBuilder.java b/src/main/java/org/seasar/doma/jdbc/builder/DeleteBuilder.java
@@ -143,7 +143,34 @@ public <P> DeleteBuilder param(Class<P> paramClass, P param) {
         if (paramClass == null) {
             throw new DomaNullPointerException("paramClass");
         }
-        helper.appendParam(new Param(paramClass, param, paramIndex));
+        return appendParam(paramClass, param, false);
+    }
+
+    /**
+     * リテラルとしてパラメータを追加します。
+     * <p>
+     * パラメータの型には、基本型とドメインクラスを指定できます。
+     * 
+     * @param <P>
+     *            パラメータの型
+     * @param paramClass
+     *            パラメータのクラス
+     * @param param
+     *            パラメータ
+     * @return このインスタンス
+     * @throws DomaNullPointerException
+     *             {@code parameterClass} が {@code null} の場合
+     */
+    public <P> DeleteBuilder literal(Class<P> paramClass, P param) {
+        if (paramClass == null) {
+            throw new DomaNullPointerException("paramClass");
+        }
+        return appendParam(paramClass, param, true);
+    }
+
+    private <P> DeleteBuilder appendParam(Class<P> paramClass, P param,
+            boolean literal) {
+        helper.appendParam(new Param(paramClass, param, paramIndex, literal));
         paramIndex.increment();
         return new SubsequentDeleteBuilder(helper, query, paramIndex);
     }
diff --git a/src/main/java/org/seasar/doma/jdbc/builder/InsertBuilder.java b/src/main/java/org/seasar/doma/jdbc/builder/InsertBuilder.java
@@ -142,7 +142,34 @@ public <P> InsertBuilder param(Class<P> paramClass, P param) {
         if (paramClass == null) {
             throw new DomaNullPointerException("paramClass");
         }
-        helper.appendParam(new Param(paramClass, param, paramIndex));
+        return appendParam(paramClass, param, false);
+    }
+
+    /**
+     * リテラルとしてパラメータを追加します。
+     * <p>
+     * パラメータの型には、基本型とドメインクラスを指定できます。
+     * 
+     * @param <P>
+     *            パラメータの型
+     * @param paramClass
+     *            パラメータのクラス
+     * @param param
+     *            パラメータ
+     * @return このインスタンス
+     * @throws DomaNullPointerException
+     *             {@code parameterClass} が {@code null} の場合
+     */
+    public <P> InsertBuilder literal(Class<P> paramClass, P param) {
+        if (paramClass == null) {
+            throw new DomaNullPointerException("paramClass");
+        }
+        return appendParam(paramClass, param, true);
+    }
+
+    private <P> InsertBuilder appendParam(Class<P> paramClass, P param,
+            boolean literal) {
+        helper.appendParam(new Param(paramClass, param, paramIndex, literal));
         paramIndex.increment();
         return new SubsequentInsertBuilder(helper, query, paramIndex);
     }
diff --git a/src/main/java/org/seasar/doma/jdbc/builder/Param.java b/src/main/java/org/seasar/doma/jdbc/builder/Param.java
@@ -27,10 +27,13 @@ class Param {
 
     final Object param;
 
-    Param(Class<?> paramClass, Object param, ParamIndex index) {
+    final boolean literal;
+
+    Param(Class<?> paramClass, Object param, ParamIndex index, boolean literal) {
         this.paramClass = paramClass;
         this.param = param;
         this.name = "p" + index.getValue();
+        this.literal = literal;
     }
 
 }
diff --git a/src/main/java/org/seasar/doma/jdbc/builder/SelectBuilder.java b/src/main/java/org/seasar/doma/jdbc/builder/SelectBuilder.java
@@ -189,7 +189,34 @@ public <P> SelectBuilder param(Class<P> paramClass, P param) {
         if (paramClass == null) {
             throw new DomaNullPointerException("paramClass");
         }
-        helper.appendParam(new Param(paramClass, param, paramIndex));
+        return appendParam(paramClass, param, false);
+    }
+
+    /**
+     * リテラルとしてパラメータを追加します。
+     * <p>
+     * パラメータの型には、基本型とドメインクラスを指定できます。
+     * 
+     * @param <P>
+     *            パラメータの型
+     * @param paramClass
+     *            パラメータのクラス
+     * @param param
+     *            パラメータ
+     * @return このインスタンス
+     * @throws DomaNullPointerException
+     *             {@code paramClass} が {@code null} の場合
+     */
+    public <P> SelectBuilder literal(Class<P> paramClass, P param) {
+        if (paramClass == null) {
+            throw new DomaNullPointerException("paramClass");
+        }
+        return appendParam(paramClass, param, true);
+    }
+
+    private <P> SelectBuilder appendParam(Class<P> paramClass, P param,
+            boolean literal) {
+        helper.appendParam(new Param(paramClass, param, paramIndex, literal));
         paramIndex.increment();
         return new SubsequentSelectBuilder(config, helper, query, paramIndex);
     }
diff --git a/src/main/java/org/seasar/doma/jdbc/builder/UpdateBuilder.java b/src/main/java/org/seasar/doma/jdbc/builder/UpdateBuilder.java
@@ -146,7 +146,34 @@ public <P> UpdateBuilder param(Class<P> paramClass, P param) {
         if (paramClass == null) {
             throw new DomaNullPointerException("paramClass");
         }
-        helper.appendParam(new Param(paramClass, param, paramIndex));
+        return appendParam(paramClass, param, false);
+    }
+
+    /**
+     * リテラルとしてパラメータを追加します。
+     * <p>
+     * パラメータの型には、基本型とドメインクラスを指定できます。
+     * 
+     * @param <P>
+     *            パラメータの型
+     * @param paramClass
+     *            パラメータのクラス
+     * @param param
+     *            パラメータ
+     * @return このインスタンス
+     * @throws DomaNullPointerException
+     *             {@code parameterClass} が {@code null} の場合
+     */
+    public <P> UpdateBuilder literal(Class<P> paramClass, P param) {
+        if (paramClass == null) {
+            throw new DomaNullPointerException("paramClass");
+        }
+        return appendParam(paramClass, param, true);
+    }
+
+    private <P> UpdateBuilder appendParam(Class<P> paramClass, P param,
+            boolean literal) {
+        helper.appendParam(new Param(paramClass, param, paramIndex, literal));
         paramIndex.increment();
         return new SubsequentUpdateBuilder(helper, query, paramIndex);
     }
diff --git a/src/test/java/org/seasar/doma/jdbc/builder/DeleteBuilderTest.java b/src/test/java/org/seasar/doma/jdbc/builder/DeleteBuilderTest.java
@@ -50,4 +50,19 @@ public void testGetSql() throws Exception {
         builder.execute();
     }
 
+    public void testLiterall() throws Exception {
+        DeleteBuilder builder = DeleteBuilder.newInstance(new MockConfig());
+        builder.sql("delete from Emp");
+        builder.sql("where");
+        builder.sql("name = ").literal(String.class, "aaa");
+        builder.sql("and");
+        builder.sql("salary = ").literal(int.class, 10);
+
+        String sql = String.format("delete from Emp%n" + "where%n"
+                + "name = 'aaa'%n" + "and%n" + "salary = 10");
+        assertEquals(sql, builder.getSql().getRawSql());
+
+        builder.execute();
+    }
+
 }
diff --git a/src/test/java/org/seasar/doma/jdbc/builder/InsertBuilderTest.java b/src/test/java/org/seasar/doma/jdbc/builder/InsertBuilderTest.java
@@ -50,4 +50,19 @@ public void testGetSql() throws Exception {
         builder.execute();
     }
 
+    public void testLiteral() throws Exception {
+        InsertBuilder builder = InsertBuilder.newInstance(new MockConfig());
+        builder.sql("insert into Emp");
+        builder.sql("(name, salary)");
+        builder.sql("values (");
+        builder.literal(String.class, "SMITH").sql(", ");
+        builder.literal(int.class, 100).sql(")");
+
+        String sql = String.format("insert into Emp%n" + "(name, salary)%n"
+                + "values ('SMITH', 100)");
+        assertEquals(sql, builder.getSql().getRawSql());
+
+        builder.execute();
+    }
+
 }
diff --git a/src/test/java/org/seasar/doma/jdbc/builder/SelectBuilderTest.java b/src/test/java/org/seasar/doma/jdbc/builder/SelectBuilderTest.java
@@ -23,6 +23,8 @@
 import org.seasar.doma.DomaIllegalArgumentException;
 import org.seasar.doma.MapKeyNamingType;
 import org.seasar.doma.internal.jdbc.mock.MockConfig;
+import org.seasar.doma.jdbc.JdbcException;
+import org.seasar.doma.message.Message;
 
 import example.domain.PhoneNumber;
 import example.entity.Emp;
@@ -179,4 +181,39 @@ public void testGetResultList_Basic() throws Exception {
         assertNotNull(list);
     }
 
+    public void testLiteral() throws Exception {
+        SelectBuilder builder = SelectBuilder.newInstance(new MockConfig());
+        builder.sql("select");
+        builder.sql("id").sql(",");
+        builder.sql("name").sql(",");
+        builder.sql("salary");
+        builder.sql("from Emp");
+        builder.sql("where");
+        builder.sql("name = ").literal(String.class, "aaa");
+        builder.sql("and");
+        builder.sql("age > ").param(int.class, 20);
+        String sql = String.format("select%n" + "id,%n" + "name,%n"
+                + "salary%n" + "from Emp%n" + "where%n" + "name = 'aaa'%n"
+                + "and%n" + "age > ?");
+        assertEquals(sql, builder.getSql().getRawSql());
+    }
+
+    public void testLiteral_singleQuoteIncluded() throws Exception {
+        SelectBuilder builder = SelectBuilder.newInstance(new MockConfig());
+        builder.sql("select");
+        builder.sql("id").sql(",");
+        builder.sql("name").sql(",");
+        builder.sql("salary");
+        builder.sql("from Emp");
+        builder.sql("where");
+        builder.sql("code = ").literal(String.class, "a'aa");
+        builder.sql("and");
+        builder.sql("age > ").param(int.class, 20);
+        try {
+            builder.getSql();
+        } catch (JdbcException e) {
+            assertEquals(Message.DOMA2224, e.getMessageResource());
+        }
+    }
+
 }
diff --git a/src/test/java/org/seasar/doma/jdbc/builder/UpdateBuilderTest.java b/src/test/java/org/seasar/doma/jdbc/builder/UpdateBuilderTest.java
@@ -55,4 +55,23 @@ public void testGetSql() throws Exception {
 
         builder.execute();
     }
+
+    public void testLiteral() throws Exception {
+        UpdateBuilder builder = UpdateBuilder.newInstance(new MockConfig());
+        builder.sql("update Emp");
+        builder.sql("set");
+        builder.sql("name = ").literal(String.class, "SMITH").sql(",");
+        builder.sql("salary = ").literal(BigDecimal.class,
+                new BigDecimal("1000"));
+        builder.sql("where");
+        builder.sql("ID = ").param(int.class, 10);
+
+        String sql = String.format("update Emp%n" + "set%n"
+                + "name = 'SMITH',%n" + "salary = 1000%n" + "where%n"
+                + "ID = ?");
+        assertEquals(sql, builder.getSql().getRawSql());
+
+        builder.execute();
+    }
+
 }

Original file line number	Diff line number	Diff line change
`@@ -27,10 +27,13 @@ class Param {`
`27`	`27`
`28`	`28`	`final Object param;`
`29`	`29`
`30`		`- Param(Class<?> paramClass, Object param, ParamIndex index) {`
	`30`	`+ final boolean literal;`
	`31`	`+`
	`32`	`+ Param(Class<?> paramClass, Object param, ParamIndex index, boolean literal) {`
`31`	`33`	`this.paramClass = paramClass;`
`32`	`34`	`this.param = param;`
`33`	`35`	`this.name = "p" + index.getValue();`
	`36`	`+ this.literal = literal;`
`34`	`37`	`}`
`35`	`38`
`36`	`39`	`}`