asyoube logo asyoube

Datenbankanbindung aus Anwendungen

Lernfeld 11: Funktionalität in Anwendungen realisieren

Wie kommuniziert dein Programm mit einer Datenbank?

Die Notwendigkeit einer Schnittstelle

Du weißt bereits, wie man mit SQL-Befehlen direkt in einer Datenbank arbeitet und wie Programme logische Abläufe steuern. In der professionellen Softwareentwicklung tippen jedoch keine Anwendenden SQL-Befehle in eine Konsole. Stattdessen muss die Anwendungslogik (dein Programmcode) automatisiert mit dem Datenbankmanagementsystem (DBMS) kommunizieren.

Da Programmcode (z. B. in Python oder Java) und Datenbanken unterschiedliche Strukturen nutzen, wird eine Vermittlungsschicht benötigt. Diese besteht aus:

  • Programmierschnittstellen (APIs): Standardisierte Befehlssätze im Code, um Datenbankbefehle abzusetzen.
  • Treibern: Softwaremodule, die als spezifische Übersetzer für ein bestimmtes DBMS (z. B. MySQL, PostgreSQL oder Oracle) fungieren.

Stell dir vor, deine Anwendung ist ein Gast im Restaurant. Das DBMS ist die Küche. Der Treiber ist die Servicekraft: Sie nimmt die Bestellung (den SQL-Befehl) entgegen, übersetzt sie für die Küche und bringt das fertige Gericht (die Daten) zurück an den Tisch.

Die Werkzeugkiste: Treiber, Mapper und Builder

Je nach Projektanforderung nutzt du unterschiedliche Technologien, um die Verbindung herzustellen. Man kann diese in drei Kategorien klassifizieren:

  1. Native Treiber (z. B. JDBC für Java, sqlite3 für Python): Dies ist die direkteste Form. Du schreibst "rohes" SQL als Text direkt in den Code. Das ist extrem schnell (Performance), aber mühsam, da du die Tabellenzeilen manuell in Objekte deines Programms umwandeln musst.
  2. Query Builder (z. B. Knex.js, SQLAlchemy Core): Hier schreibst du kein SQL als Text, sondern nutzt Funktionen deines Programms, um die Abfrage programmatisch zusammenzubauen. Das ist sicherer und weniger fehleranfällig bei Tippfehlern.
  3. ORM-Frameworks (Object-Relational Mapping, z. B. Hibernate, Entity Framework): Die komfortabelste Lösung. Hier werden Datenbanktabellen automatisch auf Klassen im Programm abgebildet. Ein Datensatz in der Tabelle Kunde wird im Code direkt zu einem Objekt der Klasse Customer. Das spart Zeit, erfordert aber Einarbeitung in das jeweilige Framework.

Der 5-Schritte-Workflow einer Abfrage

Unabhängig von der gewählten Technologie folgt die Kommunikation fast immer einem festen Ablauf. Wenn dein Programm Daten benötigt, durchläuft es diese Schritte:

  1. Verbindungsaufbau (Connect): Die Anwendung meldet sich beim DBMS mit Zugangsdaten (Host, Port, Benutzername, Passwort) an. Oft wird ein "Connection Pool" genutzt, damit Verbindungen für nachfolgende Anfragen effizient wiederverwendet werden können.
  2. Erstellen der Abfrage (Create Statement): Der SQL-Befehl wird im Code definiert (z. B. SELECT * FROM user WHERE id = 10).
  3. Ausführung (Execute): Der Befehl wird über den Treiber an das DBMS gesendet.
  4. Verarbeitung der Ergebnismenge (Process Result Set): Das DBMS schickt die Daten zurück. Die Anwendung iteriert über die Zeilen (Tupel) und wandelt sie in ein nutzbares Format um (z. B. für eine Anzeige in der grafischen Benutzeroberfläche).
  5. Ressourcenfreigabe (Close): Die Verbindung und genutzte Speicherbereiche werden geschlossen. Vergisst man dies, kann der Datenbankserver durch zu viele offene Verbindungen überlastet werden (Connection Leak).
dec-software-engineering-application-development-database-development-database-connectivity-from-applications_page1.svg

Warum sind Prepared Statements unverzichtbar?

Die Gefahr: SQL-Injection

Ein einfaches Statement baut den SQL-Befehl oft durch das Zusammenfügen von Textbausteinen auf. Dies stellt ein massives Sicherheitsrisiko dar.

Gefährliches Beispiel (Pseudocode):

sql_befehl = "SELECT * FROM user WHERE name = '" + eingabe_von_nutzenden + "';"

Wenn eine angreifende Person in ein Login-Feld statt eines Namens den Text ' OR '1'='1 eingibt, manipuliert sie den Befehl zu:

SELECT * FROM user WHERE name = '' OR '1'='1';

Da die Bedingung '1'='1' immer wahr ist, liefert die Datenbank alle Daten aus. Die "Sicherheitsvorkehrung" wurde einfach umschifft.

Die Lösung: Prepared Statements

Prepared Statements (vorbereitete Anweisungen) verhindern diesen Angriff konsequent. Hier wird die Abfrage in zwei getrennten Phasen verarbeitet:

  1. Das Template (Planung): Zuerst schickst du nur das SQL-Gerüst mit Platzhaltern (meist ein ?) an die Datenbank. Das DBMS analysiert, prüft die Syntax und optimiert diesen Befehl sofort: SELECT * FROM user WHERE name = ?;
  2. Die Daten (Ausführung): Erst danach werden die reinen Nutzdaten (z. B. der Name "Max") gesendet.

Deine Vorteile:

  • Sicherheit: Da das DBMS das SQL-Gerüst bereits fertig "geplant" hat, werden die nachfolgenden Daten niemals als Teil des Befehls interpretiert. Eine SQL-Injection ist technisch unmöglich.
  • Performance: Wenn du 1.000 Mal denselben Befehl mit unterschiedlichen Werten ausführst (z. B. beim Import von Massendaten), muss das DBMS den Befehl nur einmal analysieren. Die restlichen 999 Male werden die Daten einfach nur "eingesetzt", was massiv Zeit spart.
# Praxisbeispiel in Python (Native Treiber-Logik mit sqlite3)
import sqlite3

# Diese Eingabe könnte von einer nutzenden Person stammen
user_input = "Max" 

# 1. Verbindungsaufbau
conn = sqlite3.connect('firma.db')
cursor = conn.cursor()

# 2. & 3. Prepared Statement: Das '?' ist der sichere Platzhalter.
# Die Logik (SELECT) und die Daten (user_input) werden getrennt übergeben.
cursor.execute("SELECT email FROM mitarbeiter WHERE name = ?", (user_input,))

# 4. Verarbeitung der Ergebnismenge
ergebnis = cursor.fetchone()
if ergebnis:
    print(f"E-Mail-Adresse: {ergebnis[0]}")

# 5. Ressourcenfreigabe
conn.close()

Lernziele

  • verschiedene Arten von Statements differenzieren, indem zwischen einfachen Statements und Prepared Statements unterschieden wird, wobei insbesondere der Sicherheitsaspekt (SQL-Injection-Prävention) und Performance-Vorteile von Prepared Statements hervorgehoben werden.
  • das Konzept der Datenbankanbindung aus Anwendungen erklären, indem die Notwendigkeit einer Schnittstelle (Treiber, API) zwischen der Anwendungslogik und dem Datenbankmanagementsystem (DBMS) zur Ausführung von SQL-Befehlen und Verarbeitung von Ergebnissen dargelegt wird.
  • gängige Technologien zur Datenbankanbindung klassifizieren, indem zwischen nativen Treibern (z.B. JDBC, ODBC), ORM-Frameworks (Object-Relational Mapping, z.B. Hibernate, Entity Framework) und Query Buildern unterschieden wird.
  • den allgemeinen Ablauf einer Datenbankabfrage aus dem Anwendungscode veranschaulichen, indem die typischen Schritte Verbindungsaufbau, Erstellung der Abfrage, Ausführung, Verarbeitung der Ergebnismenge und Ressourcenfreigabe in der korrekten Reihenfolge dargestellt werden.
← Zurück zu Funktionalität in Anwendungen realisieren
🚀 Bereit für mehr?

Vertiefe dein Wissen!

Du hast die Grundlagen verstanden? Perfekt! In unserer App findest du interaktive Übungen, praktische Projekte und erweiterte Inhalte zu Datenbankanbindung aus Anwendungen.

Download on the App Store Get it on Google Play
💼 Für Unternehmen

Ab 5€/Monat • Kostenloser Test verfügbar