Sto lavorando a un progetto in una delle 3 principali società di consulenza IT del mondo e mi è stato detto da un DBA che le procedure memorizzate dallo stato delle best practice dell'azienda non sono una "best practice". Questo è così contrario a tutto ciò che ho imparato.

Le procedure memorizzate ti consentono di riutilizzare il codice, incapsulamento (due pilastri dello sviluppo del software), sicurezza (puoi concedere / revocare autorizzazioni su un singolo proc memorizzato), proteggerti dagli attacchi SQL injection e anche aiutare con la velocità (anche se DBA ha detto che a partire da SQL Server 2008 che vengono compilate anche query SQL regolari se vengono eseguite abbastanza volte).

Stiamo sviluppando un'app complessa utilizzando la metodologia di sviluppo del software Agile. Qualcuno può pensare a buoni motivi per cui non vorrebbe usare i proc memorizzati? La mia ipotesi era che i DBA non volessero mantenere quei processi archiviati, ma sembra che ci siano troppi aspetti negativi per giustificare una simile decisione di progettazione.

Nella mia esperienza di lavoro su progetti molto grandi, devi essere molto chiaro su dove vive la logica di business. Se si consente a un ambiente in cui i singoli sviluppatori possono inserire la logica aziendale nel livello dell'oggetto business o in una procedura memorizzata a loro piacimento, un'applicazione di grandi dimensioni diventa MOLTO difficile da comprendere e mantenere.

Le procedure memorizzate sono ottime per accelerare determinate operazioni del DB. La mia decisione architettonica è quella di lasciare tutta la logica nel livello aziendale dell'applicazione e utilizzare procedure memorizzate in modo mirato per migliorare le prestazioni laddove il benchmarking indichi che è giustificato.

Alcune osservazioni

Le procedure memorizzate forniscono il riutilizzo del codice e l'incapsulamento (due pilastri dello sviluppo del software),

Solo se li usi correttamente nel contesto in cui dovrebbero essere usati. La stessa affermazione si può dire delle funzioni (nella programmazione strutturata) o dei metodi (nella programmazione orientata agli oggetti), eppure vediamo funzioni 1K e oggetti mega-ass.

Gli artefatti non ti danno questi benefici. L'uso corretto di questi artefatti è ciò che dà quei benefici.

sicurezza (è possibile concedere / revocare le autorizzazioni su un singolo proc memorizzato),

Sì. Questo è un buon punto e uno dei motivi principali per cui mi piacciono le stored procedure. Offrono un controllo degli accessi più accurato rispetto a ciò che è possibile ottenere in genere solo con viste e account utente.

proteggerti dagli attacchi di SQL injection,

Ciò non è specifico per gli SP poiché è possibile ottenere lo stesso livello di protezione con istruzioni SQL parametrizzate e scrubbing di input. Vorrei utilizzare SP oltre a quelli, tuttavia, come questione di "sicurezza in profondità" .

e aiuta anche con la velocità (anche se DBA ha affermato che a partire da SQL Server 2008 vengono compilate anche query SQL regolari se vengono eseguite abbastanza volte).

Questo è altamente specifico per il fornitore di database, ma in generale il DBA ha ragione. Le istruzioni SQL (statiche o parametrizzate) vengono compilate. Gli SP aiutano se vuoi / hai bisogno di aggregare e calcolare dati che non puoi fare con semplici istruzioni SQL, ma che sono strettamente integrati con SQL e non garantiscono il viaggio di andata e ritorno al server delle app.

Un buon esempio è l'interrogazione dei dati in un cursore (o cursori) temporaneo da cui eseguire un altro SQL stesso. Puoi farlo a livello di programmazione nel server delle app oppure puoi salvare i round trip multipli facendolo nel db.

Questo non dovrebbe essere la norma, tuttavia. Se hai molti di questi casi, questo è un segno di cattiva progettazione del database (o stai estraendo dati da schemi di database non così compatibili tra i dipartimenti.)

Stiamo sviluppando un'app complessa utilizzando la metodologia di sviluppo del software Agile.

L'agilità ha a che fare con i processi di ingegneria del software e la gestione dei requisiti e non con le tecnologie.

Qualcuno può pensare a buoni motivi per cui non vorrebbe usare i proc memorizzati?

Domanda sbagliata

La domanda è errata ed equivale a chiedere "ci sono buoni motivi per non usare GOTO"? Sono al fianco di Niklaus Wirth più che di Dijkstra su questo argomento. Posso capire da dove provenga il sentimento di Dijkstra, ma non credo che sia applicabile al 100% in tutti i casi. Lo stesso vale per i negozi store e qualsiasi tecnologia.

Uno strumento è buono se usato bene per lo scopo previsto e quando è lo strumento migliore per l'attività specifica. Usarlo altrimenti non indica che lo strumento è sbagliato, ma che il possessore non sa cosa sta facendo.

La domanda corretta è "che tipo di schemi di utilizzo della procedura memorizzata dovrebbero essere evitati". Oppure "a quali condizioni dovrei (o non dovrei) usare le stored procedure" . Ricerca di ragioni , non per usare una tecnologia sta semplicemente mettendo la colpa sullo strumento invece di porre la responsabilità di ingegneria esattamente dove appartiene - nella ingegnere.

In altre parole, è un cop-out o una dichiarazione di ignoranza.

La mia ipotesi era che i DBA non volessero mantenere quei processi archiviati, ma sembra che ci siano troppi aspetti negativi per giustificare una simile decisione di progettazione.

Quello che stanno facendo allora è proiettare i risultati delle loro cattive decisioni ingegneristiche sugli strumenti che hanno usato male.

Cosa fare nel tuo caso?

La mia esperienza è, quando a Roma, fare come fanno i romani .

Non combatterlo. Se le persone della tua azienda vogliono etichettare i proc di negozio come una cattiva pratica, lasciali. Tuttavia, tieni presente che questa può essere una bandiera rossa nelle loro pratiche di ingegneria.

L'etichettatura tipica delle cose come cattiva pratica viene solitamente eseguita in organizzazioni con tonnellate di programmatori incompetenti. Elencando in nero alcune cose, l'organizzazione cerca di limitare il danno inflitto internamente dalla propria incompetenza. Non ti cagare.

Le generalizzazioni sono la madre di tutti i problemi. Dire che i proc memorizzati (o qualsiasi tipo di tecnologia) sono una cattiva pratica, questa è una generalizzazione. Le generalizzazioni sono cop-out per l'incompetente. Gli ingegneri non lavorano con generalizzazioni palesi. Eseguono analisi caso per caso, eseguono analisi trade-off ed eseguono decisioni e soluzioni ingegneristiche in base ai fatti a portata di mano, nel contesto in cui dovrebbero risolvere un problema.

I bravi ingegneri non etichettano le cose come cattive pratiche in modi così generalizzati. Esaminano il problema, selezionano lo strumento appropriato, fanno dei compromessi. In altre parole, fanno ingegneria.

La mia opinione su come non usarli

• Non mettere la logica complessa oltre la raccolta di dati (e forse alcune trasformazioni) in essi. Va bene inserire una logica di massaggiamento dei dati in essi o aggregare il risultato di più query con loro. Ma questo è tutto. Qualunque cosa oltre a ciò si qualificherebbe come logica aziendale che dovrebbe risiedere altrove.

• Non usarli come unico meccanismo di difesa contro l'iniezione SQL. Li lasci lì nel caso in cui qualcosa di brutto lo faccia loro , ma dovrebbe esserci una marea di logica difensiva davanti a loro - convalida / scrub sul lato client, convalida / scrub sul lato server, possibilmente trasformazione in tipi che hanno senso nel tuo modello di dominio e infine passare alle istruzioni parametrizzate (che potrebbero essere istruzioni SQL parametrizzate o processi memorizzati parametrizzati).

• Non rendere i database l'unico posto contenente i tuoi proc store. I proc del tuo negozio dovrebbero essere trattati così come tratti il ​​tuo codice sorgente C # o Java. Cioè, il controllo del codice sorgente della definizione testuale del tuo proc store. Le persone affermano che i proc dei negozi non possono essere controllati dalla fonte - bullcrap, semplicemente non sanno di che diavolo stanno parlando.

La mia opinione su come / dove usarli

• L'applicazione richiede i dati che devono essere trasposti o aggregati da più query o viste. Puoi scaricarlo dall'applicazione nel db. Qui devi fare un'analisi delle prestazioni poiché a) i motori di database sono più efficienti dei server delle app nel fare queste cose, ma b) i server delle app sono (a volte) più facili da ridimensionare orizzontalmente.

• Controllo degli accessi a grana fine. Non vuoi che qualche idiota esegua join cartesiani nel tuo db, ma non puoi semplicemente vietare alle persone di eseguire istruzioni SQL arbitrarie in questo modo. Una soluzione tipica è consentire istruzioni SQL arbitrarie negli ambienti di sviluppo e UAT, vietandole negli ambienti più systest e di produzione. Qualsiasi affermazione che deve arrivare al systest o alla produzione entra in una procedura di archivio, revisionata da codice sia da sviluppatori che da dbas.

Qualsiasi necessità valida per eseguire un'istruzione SQL non in un proc store passa attraverso un nome utente / account e un pool di connessioni diversi (con l'utilizzo altamente monitorato e sconsigliato).

• In sistemi come Oracle, puoi accedere a LDAP o creare collegamenti simbolici a database esterni (ad esempio chiamando un proc store su un db di un partner commerciale tramite VPN). Un modo semplice per eseguire il codice spaghetti, ma questo è vero per tutti i paradigmi di programmazione, e talvolta hai requisiti aziendali / ambientali specifici per i quali questa è l'unica soluzione. I proc Store aiutano a incapsulare quella cattiveria in un solo posto, vicino ai dati e senza dover attraversare il server delle app.

Se lo esegui sul db come proc store o sul tuo server app dipende dall'analisi del trade-off che tu, come ingegnere, devi fare. Entrambe le opzioni devono essere analizzate e giustificate con un qualche tipo di analisi. Andare in un modo o nell'altro semplicemente accusando l'altra alternativa come "cattiva pratica", è solo un ingannevole cop-out ingegneristico.

• In situazioni in cui semplicemente non puoi scalare il tuo server di app (.ie. Nessun budget per il nuovo hardware o istanze cloud) ma con molta capacità sul back-end db (questo è più tipico che molte persone vogliono ammettere), paga per spostare la logica aziendale per archiviare i processi. Non carino e può portare a modelli di dominio anemici ... ma poi ancora ... analisi di compromesso, la cosa che fa schifo alla maggior parte degli hack del software.

Che questa diventi una soluzione permanente o meno, è specifica per i vincoli osservati in quel particolare momento.

Spero che sia d'aiuto.

La logica è che fare affidamento su un livello di procedura memorizzata limita la portabilità e si lega a un determinato DB. Anche i costi di manutenzione aggiunti sono citati come motivo. Volevo anche commentare questo punto che hai fatto:

(stored procedure) proteggono dagli attacchi di iniezione SQL

In realtà è la query parametrizzata che ti protegge, cosa che puoi facilmente fare con query sql in testo semplice.

Alcuni dei motivi per cui sono d'accordo che i proc memorizzati non sono una buona pratica.

• La logica aziendale e applicativa dovrebbe trovarsi nel codice, non nel database. Inserire la logica nel DB sta mescolando le preoccupazioni.
• Non è possibile testare i proc memorizzati in modo uniforme come il codice nei progetti di test unitari convenzionali con il resto della logica dell'applicazione.
• Non trovo che i proc memorizzati siano utili per testare la prima programmazione quando scrivo codice.
• I proc memorizzati non sono facili da eseguire il debug del codice dell'applicazione quando si esegue il debug del programma nell'IDE.
• Controllo versionning / controllo sorgente di SP rispetto al codice normale

Le procedure memorizzate forniscono il riutilizzo del codice e l'incapsulamento (due pilastri dello sviluppo del software),

Sì, ma a costo di riuscire a raggiungere altri obiettivi di design agili. Sono più difficili da mantenere, per prima cosa. Se il progetto a cui sto partecipando è indicativo, probabilmente finirai con più SP incompatibili che svolgono essenzialmente lo stesso lavoro, senza alcun vantaggio.

proteggerti dagli attacchi di SQL injection,

No, non lo fanno. Non riesco nemmeno a indovinare da dove potrebbe provenire questa idea, come ho sentito dire spesso, e semplicemente non è vero. Potrebbe mitigare alcuni tipi di attacchi di iniezione SQL, ma se non si utilizzano query parametrizzate, non importa. Posso ancora "; DROP TABLE Account; -

e aiuta anche con la velocità (anche se DBA ha affermato che a partire da SQL Server 2008 vengono compilate anche query SQL regolari se vengono eseguite abbastanza volte).

In genere vengono anche compilati quando si utilizzano istruzioni preparate e parametrizzate (almeno con alcuni dei DB che ho usato). Quando l'applicazione inizia a eseguire la query (o soprattutto quando si esegue più volte la stessa query preparata), qualsiasi vantaggio in termini di prestazioni che si ritiene abbia il proprio SP è completamente controverso.

L' unico motivo per utilizzare una procedura memorizzata, IMHO, è quando è necessario creare una query complessa, con più fasi, che estrae da più origini fascicolate. Gli SP non devono contenere una logica decisionale di basso livello e non dovrebbero mai semplicemente incapsulare una query altrimenti semplice. Non ci sono vantaggi e solo molti svantaggi.

Ascolta il tuo DBA. Sa cosa succede.

Questa era la linea ufficiale quando ho lavorato per uno dei Big Five qualche anno fa. La logica era che, poiché gli SP sono legati a implementazioni particolari (PL / SQL vs T / SQL vs ...), limitano inutilmente le scelte tecnologiche.

Avendo vissuto la migrazione di un grande sistema da T / SQL a PL / SQL, posso capire l'argomento. Penso che sia un po 'un canard però - quanti posti si spostano davvero da un database all'altro per un capriccio?

Tutte e tre le società per cui lavoro utilizzano stored procedure utilizzate per la logica dell'applicazione con SQL Server. Non ho davvero visto le cose nell'altro modo. Ma per me sono un gran casino. In genere non esistono ottime strutture per la gestione degli errori o strutture di riutilizzo del codice con procedure memorizzate.

Supponiamo che tu abbia una procedura memorizzata che restituisce un set di dati che desideri utilizzare, come puoi utilizzarla in future procedure memorizzate? I meccanismi su SQL Server non sono molto validi. EXEC INTO ... funziona solo a uno o due livelli) di annidamento (ora dimentico). Oppure devi pre-definire una tabella di lavoro e farla elaborare con chiave. Oppure è necessario pre-creare una tabella temporanea e fare in modo che la procedura la popoli. Ma cosa succede se due persone definiscono la stessa tabella temporanea in due diverse procedure che non hanno mai pianificato di utilizzare contemporaneamente? In qualsiasi normale linguaggio di programmazione, puoi semplicemente restituire un array da una funzione o puntare a un oggetto / struttura globale condivisa tra di loro (ad eccezione dei linguaggi funzionali in cui restituiresti la struttura dei dati invece di cambiare solo una struttura globale ... )

Che ne dici di riutilizzare il codice? Se inizi a mettere espressioni comuni in UDF (o anche peggio sottoquery) rallenterai il codice. Non è possibile chiamare una procedura memorizzata per eseguire un calcolo per una colonna (a meno che non si utilizzi un cursore, passare i valori della colonna uno a uno e quindi aggiornare in qualche modo la tabella / il set di dati). Quindi, in pratica, per ottenere il massimo delle prestazioni, devi tagliare / incollare espressioni comuni ovunque, che è un incubo per la manutenzione ... Con un linguaggio di programmazione puoi creare una funzione per generare l'SQL comune e chiamarlo da qualsiasi luogo durante la creazione la stringa SQL. Quindi, se è necessario regolare la formula, è possibile apportare la modifica in un unico posto ...

Che ne dite di gestione degli errori? SQL Server presenta molti errori che interrompono immediatamente l'esecuzione della procedura memorizzata e alcuni che addirittura costringono a una disconnessione. Dal 2005 esiste un tentativo / cattura ma ci sono ancora numerosi errori che non possono essere rilevati. Inoltre, la stessa cosa accade con la duplicazione del codice sul codice di gestione degli errori e non è possibile passare eccezioni con la stessa facilità o trasferirle a livelli superiori con la stessa facilità della maggior parte dei linguaggi di programmazione .....

Anche solo la velocità. Molte operazioni sui set di dati non sono orientate al SET. Se provi a fare cose orientate alle righe, o stai per usare un cursore, o stai per usare un "cursore" (quando gli sviluppatori spesso interrogano ciascuna riga una per una e memorizzano il contenuto in @ variabili proprio come un cursore. .. Anche se questo è spesso più lento di un cursore FORWARD_ONLY). Con SQL Server 2000 avevo qualcosa che era in esecuzione per 1 ora prima di ucciderlo. Ho riscritto quel codice in Perl ed è finito in 20 minuti. Quando un linguaggio di scripting 20-80x più lento di C fuma SQL in termini di prestazioni, sicuramente non hai attività commerciali che scrivono operazioni orientate alle righe in SQL.

Ora SQL Server ha l'integrazione CLR e molti di questi problemi scompaiono se si utilizzano procedure memorizzate CLR. Ma molti DBA non sanno come scrivere programmi .NET o disattivare il CLR a causa di problemi di sicurezza e attenersi a Transact SQL .... Anche con i CLR hai ancora problemi di condivisione dei dati tra più procedure in modo efficiente .

Anche in generale la cosa più difficile da ridimensionare è il database. Se tutta la logica aziendale si trova nel database, quando il database diventa troppo lento si verificano problemi. Se disponi di un livello aziendale, puoi semplicemente aggiungere più cache e più server aziendali per migliorare le prestazioni. Tradizionalmente un altro server per installare Windows / Linux ed eseguire .NET / Java è molto più economico rispetto all'acquisto di un altro server di database e alla concessione di licenze per più SQL Server. Tuttavia, SQL Server ora supporta più clustering, in origine non ne aveva davvero. Quindi, se hai un sacco di soldi, puoi aggiungere il clustering o persino fare un po 'di log shipping per fare più copie di sola lettura. Ma nel complesso questo costerà molto di più che avere una scrittura dietro la cache o qualcosa del genere.

Guarda anche le strutture Transact-SQL. Manipolazione delle stringhe? Prenderò le classi String String / Tokenizer / Scanner / Regex Java ogni giorno. Tabelle hash / elenchi collegati / ecc. Prenderò i framework di raccolta Java, ecc ... E lo stesso per .NET ... Sia C # che Java sono linguaggi molto più evoluti rispetto a Transact SQL ... Il diavolo della codifica con Transact-SQL mi rende geloso di C .. .

Inoltre, le procedure memorizzate sono più efficienti per lavorare con un set di dati di grandi dimensioni e applicare più query / criteri per ridurlo prima di restituirlo al livello aziendale. Se devi inviare un sacco di enormi set di dati all'applicazione client e suddividere i dati sul client, sarà molto più inefficiente che semplicemente fare tutto il lavoro sul server.

Anche le stored procedure sono utili per la sicurezza. È possibile tagliare tutto l'accesso alle tabelle sottostanti e consentire l'accesso solo tramite le procedure memorizzate. Con alcune tecniche moderne come XML è possibile disporre di procedure memorizzate che eseguono aggiornamenti batch. Quindi tutti gli accessi sono controllati attraverso le procedure memorizzate in modo che, purché siano sicure / corrette, i dati possano avere maggiore integrità.

L'argomento SQL injection non si applica più così tanto dato che abbiamo parametrizzato le query dal lato del linguaggio di programmazione. Anche molto prima delle query con parametri, un po 'di sostituzione ("'", "''") ha funzionato anche la maggior parte del tempo (anche se ci sono ancora trucchi da usare per superare la fine della stringa per ottenere ciò che desideri).

Nel complesso, penso che SQL e Transact SQL siano ottimi linguaggi per interrogare / aggiornare i dati. Ma per codificare qualsiasi tipo di logica, fare manipolazione di stringhe (o diamine manipolazione di file .... saresti sorpreso di cosa puoi fare con xp_cmdshell ....) per favore no. Spero di trovare un posto futuro che non usi principalmente le procedure memorizzate. Dal punto di vista della manutenibilità del codice sono un incubo. Inoltre, cosa succede se vuoi cambiare piattaforma (anche se davvero se hai pagato per Oracle / DB2 / Sybase / Sql Server / ecc. Potresti anche ottenere tutto ciò che puoi da loro usando ogni estensione proprietaria che ti aiuta. ..).

Anche sorprendentemente spesso la logica aziendale non è la stessa. Nel mondo ideale inseriresti tutta la logica nelle procedure memorizzate e la condividerai tra le applicazioni. Ma molto spesso la logica differisce in base alle applicazioni e le procedure memorizzate finiscono per diventare monoliti eccessivamente complessi di cui le persone hanno paura di cambiare e non comprendono tutte le implicazioni. Considerando che con un buon linguaggio orientato agli oggetti è possibile codificare un livello di accesso ai dati che ha alcune interfacce / hook standard che ogni applicazione può sostituire alle proprie esigenze.

Come si eseguono le versioni delle procedure memorizzate sul server?

Se si ridistribuiscono le procedure memorizzate sul server dal controllo versione, il piano di esecuzione memorizzato viene espulso.

Le procedure memorizzate non dovrebbero essere modificabili direttamente sul server, altrimenti come fai a sapere cosa sta realmente funzionando? In caso contrario, lo strumento di distribuzione necessita dell'accesso per scrivere le procedure memorizzate nel database. Dovresti distribuire su ogni build (il piano exec potrebbe essere diverso)

Mentre le procedure memorizzate non sono portabili, né lo è SQL in generale (mai visto la gestione della data dell'oracolo - uggghhh).

Pertanto, se si desidera la portabilità, creare un'API di accesso ai dati interna. Puoi chiamarlo come chiamate di funzione e internamente puoi incorporarlo in qualsiasi linguaggio tu voglia, con query parametrizzate e può essere controllato in base alla versione.

Questo è così contrario a tutto ciò che ho imparato.

Potrebbe essere necessario uscire di più. [ghigno] Seriamente, i proc immagazzinati sono in declino da almeno 10 anni. Praticamente da quando n-tier ha sostituito client-server. Il declino è stato accelerato solo dall'adozione di linguaggi OO come Java, C #, Python, ecc.

Questo non vuol dire che i proc memorizzati non abbiano ancora i loro sostenitori e sostenitori, ma questa è una discussione e un dibattito di lunga data. Non è nuovo e probabilmente continuerà ancora per un po 'di tempo; IMO, gli avversari dei proc memorizzati stanno chiaramente vincendo.

Le procedure memorizzate consentono il riutilizzo del codice e l'incapsulamento (due pilastri dello sviluppo del software)

Verissimo. Ma anche uno strato OO decentemente progettato.

sicurezza (è possibile concedere / revocare le autorizzazioni su un singolo proc memorizzato)

Mentre puoi farlo, pochi lo fanno a causa delle gravi limitazioni. La sicurezza a livello di DB non è abbastanza granulare per prendere decisioni consapevoli del contesto. A causa del sovraccarico di prestazioni e gestione, è insolito disporre anche di connessioni per utente, quindi è ancora necessario un certo livello di autorizzazione nel codice dell'app. Puoi utilizzare gli accessi in base al ruolo, ma dovrai crearli per nuovi ruoli, mantenere il ruolo in cui stai eseguendo, cambiare le connessioni per far funzionare il "livello di sistema" come la registrazione, ecc. E, infine, se la tua app è di proprietà, così come la tua connessione al DB.

proteggerti dagli attacchi di SQL injection

Nient'altro che fare query parametrizzate. Che si ha bisogno di fare in ogni caso.

e aiuta anche con la velocità (anche se DBA ha affermato che a partire da SQL Server 2008 vengono compilate anche query SQL regolari se vengono eseguite abbastanza volte).

Penso che sia iniziato in MSSQL 7 o 2000. Ci sono stati molti dibattiti, misurazioni e disinformazioni sulle prestazioni di SQL memorizzate in linea tra process e inline - ho messo tutto sotto YAGNI. E, se ne hai bisogno, prova.

Stiamo sviluppando un'app complessa utilizzando la metodologia di sviluppo del software Agile. Qualcuno può pensare a buoni motivi per cui non vorrebbe usare i proc memorizzati?

Non riesco a pensare a molte ragioni che ci si vuole a. Java / C # / qualsiasi terzo linguaggio GL sono tutti molto più capaci di T-SQL per incapsulamento, riutilizzo e felxibility, ecc. La maggior parte dei quali è gratuita dato un ORM decente.

Inoltre, dato il consiglio di "distribuire secondo necessità, ma non di più", penso che l'onere della prova in questi giorni sia sui sostenitori di SP. Un motivo comune per cui è necessario procedere con la memorizzazione è che T-SQL è più semplice di OO e il negozio ha sviluppatori T-SQL migliori di OO. Oppure, che il DBA si arresta a livello di database e che i proc memorizzati siano l'interfaccia tra dev e DBA. In alternativa, stai spedendo un prodotto semi-personalizzato e i proc memorizzati possono essere personalizzati dall'utente. In assenza di alcune considerazioni del genere, penso che il valore predefinito per qualsiasi progetto SW Agile in questi giorni sarà ORM.

Considerando tutti i casi di cui sopra, vorrei aggiungerne uno in più. La scelta di SP può dipendere anche dalla scelta delle persone.

Personalmente mi sento frustrato quando le persone mettono una logica molto complessa in SP e credo che tale SP sia molto complesso da mantenere ed eseguire il debug. Anche in molti casi lo sviluppatore stesso deve affrontare problemi quando il debug nel codice dietro (diciamo parte del linguaggio) è molto più semplice che in SP.

SP deve essere utilizzato solo per operazioni semplici. Bene, questa è la mia scelta.

Voglio coprire sia alcuni pro che i problemi con i processi memorizzati. Li usiamo ampiamente con LedgerSMB e la nostra regola è, con alcune estensioni molto specifiche, "se è una query, rendila un proc memorizzato".

La nostra ragione per farlo è stata quella di facilitare il riutilizzo delle query in più lingue. Non esiste un modo migliore per farlo onestamente.

Alla fine la domanda è sempre sui dettagli. Le procedure ben utilizzate e archiviate rendono le cose molto più semplici e poco utilizzate rendono le cose molto più difficili.

Quindi, al lato negativo.

1. Come usate tradizionalmente, le procedure memorizzate sono fragili. Utilizzati da soli creano la possibilità di aggiungere bug al tuo codice in luoghi che non ti aspettavi per nessun altro motivo che la sintassi della chiamata è cambiata. Usato da solo questo è un po 'un problema. C'è troppa coesione tra gli strati e questo causa problemi.

2. Sì, è possibile eseguire l'iniezione sql intra-sproc se si esegue qualsiasi sql dinamico. È una brutta cosa essere troppo fiduciosi in questo settore, e di conseguenza è necessario avere una significativa esperienza in materia di sicurezza in questo settore.

3. Le modifiche alle interfacce sono alquanto problematiche con le procedure memorizzate per il motivo n. 1 sopra, ma questo può diventare un incubo molto grande se sono coinvolte un numero elevato di app client.

Quanto sopra è piuttosto difficile da negare. Succedono Tutti, pro-SP e anti-SP hanno probabilmente avuto storie horror in merito. I problemi non sono irrisolvibili, ma se non li presti attenzione non puoi risolverli (in LedgerSMB utilizziamo un localizzatore di servizi per creare dinamicamente chiamate SP in fase di esecuzione, evitando del tutto i problemi di cui sopra. Mentre siamo PostgreSQL solo, qualcosa di simile potrebbe essere fatto per altri db).

Passiamo agli aspetti positivi. Supponendo che tu possa risolvere i problemi di cui sopra, ottieni:

1. La possibilità di maggiore chiarezza nelle operazioni impostate. Ciò è particolarmente vero se la tua query è molto grande o molto flessibile. Questo porta anche a una migliore testabilità.

2. Se ho già un localizzatore di servizi che lavora in quest'area, trovo che le procedure memorizzate accelerano il ritmo di sviluppo perché liberano lo sviluppatore dell'applicazione da problemi di database e viceversa. Questo ha alcune difficoltà nel fare bene, ma non è così difficile da fare.

3. Riutilizzo delle query.

Oh e alcune cose che non dovresti quasi mai fare in un SP:

1. logica non transazionale. Hai inviato l'e-mail che l'ordine è stato spedito ma la transazione è stata ripristinata ... o ora stai aspettando di continuare affinché il server di posta elettronica sia online .... o peggio, esegui il rollback della transazione solo perché non riesci a raggiungere il server di posta elettronica ....

2. molte piccole domande messe insieme in modo lasco, cosparse di logica procedurale ...

per chi lavori?

La risposta può dipendere da chi sei assunto, dalla società di consulenza o dalla società stessa. Ciò che è meglio per un'azienda spesso non lo è per una società di consulenza o altri fornitori di software. es. Un'azienda intelligente desidera avere un vantaggio permanente rispetto ai suoi concorrenti. Al contrario, un fornitore di software vuole essere in grado di offrire la stessa soluzione a tutte le aziende di un determinato settore, al costo più basso. Se hanno successo in questo, non ci sarà alcun vantaggio competitivo netto per il cliente.

In questo caso particolare, le applicazioni vanno e vengono, ma molto spesso il database aziendale sopravvive per sempre. Una delle cose principali che fa un RDBMS è impedire ai dati spazzatura di entrare nel database. Ciò può comportare procedure memorizzate. Se la logica è una buona logica ed è altamente improbabile che cambi di anno in anno, perché non dovrebbe trovarsi nel database, mantenendolo internamente coerente, indipendentemente dall'applicazione scritta per utilizzare il database? Anni dopo qualcuno avrà una domanda che vorrà porre al database e sarà possibile rispondere se la posta indesiderata non ha potuto entrare nel database.

Quindi forse questo ha a che fare con il fatto che il tuo DBA lavora per una società di consulenza. Più sono portatili e possono rendere il loro codice, più possono riutilizzare il codice da un client all'altro. Più logica possono legare nella loro app, più l'azienda è legata al fornitore. Se lasciano un grosso casino nel processo, verranno pagati per ripulirlo o non vedranno mai più il pasticcio. In entrambi i casi è una vittoria per loro.

Per (molte) più discussioni su entrambi i lati della recinzione, leggi la discussione su horror di programmazione . FWIW Mi appoggio al fianco di coloro che sostengono gli SP.

È molto difficile cambiare marchio di database e utilizzare le stesse procedure memorizzate.

Il tuo team o non ha un DBA e nessun altro vuole avere a che fare con sql.

Questo non è altro che un programmatore contro il concorso di pipì DBA.

IMO dipende. Le procedure memorizzate hanno il loro posto, ma non sono una buona pratica, né sono qualcosa da evitare a tutti i costi. Uno sviluppatore intelligente sa come valutare correttamente una determinata situazione e determinare se una procedura memorizzata è la risposta. Personalmente sono un fan dell'utilizzo di un ORM di qualche tipo (anche uno di base come Linq grezzo a SQL) piuttosto che procedure memorizzate tranne forse per report predefiniti o simili, ma di nuovo è davvero una base caso per caso.

È sempre una fonte di problemi avere la logica di business suddivisa tra diversi livelli, usando linguaggi di programmazione diversi. Tracciare un bug o implementare una modifica è molto più difficile quando devi passare da un mondo all'altro.

Detto questo, conosco le aziende che fanno abbastanza bene inserendo tutte le logiche aziendali nei pacchetti PL / SQL presenti nel database. Quelle non sono applicazioni molto grandi, ma nemmeno banali; dire LOC 20K-100K. (PL / SQL è più adatto a quel tipo di sistema rispetto a T-SQL, quindi se conosci solo T-SQL, probabilmente scuoterai la testa incredulo ora ...)

Questo è un altro punto non ancora menzionato:

Gli strumenti di generazione del codice e gli strumenti di reverse engineering non sono in grado di gestire bene le stored procedure. Lo strumento generalmente non può dire cosa fa il proc. Il proc restituisce un set di risultati? Diversi set di risultati? Prende i suoi set di risultati da più tabelle e tabelle temporanee? Proc è solo un'istruzione di aggiornamento incapsulata e non restituisce nulla? Restituisce un gruppo di risultati, un valore di ritorno e alcuni "output console"?

Quindi, se si desidera utilizzare uno strumento per creare automaticamente un livello DTO e DAO di trasferimento dati (come fa il "service builder" di liferay), non è possibile farlo facilmente.

Inoltre, ORM come Hibernate non possono davvero funzionare correttamente quando l'origine dati è un SP. L'accesso ai dati è nella migliore delle ipotesi di sola lettura.

Programmando da solo, non posso resistere alla scrittura di stored procedure.

Sto usando MySQL principalmente. Non ho mai usato database orientati agli oggetti come PostGreSQL, ma quello che sono in grado di fare con gli SP in MySQL è un po 'astratto la struttura della tabella. SP di mi permettono di progettare queste azioni primitive, i cui ingressi e uscite non cambierà , anche se il database sottostante non cambia.

Quindi, ho una procedura chiamata logIn. Quando accedi, passi usernamee basta password. Il risultato restituito è l'intero userId.

Quando logInè una procedura memorizzata, ora posso aggiungere ulteriore lavoro da eseguire al momento dell'accesso che avviene contemporaneamente al login iniziale. Trovo una serie di istruzioni SQL con logica incorporata in una procedura memorizzata più facile da scrivere rispetto alla (chiamata ambiente FETCH) -> (ottieni risultato) -> (chiamando FETCH ambiente) che devi fare quando scrivi il tuo lato server logico.

Voglio anche sottolineare che le procedure memorizzate utilizzano cpu time sul server. Non molto, ma alcuni. Parte del lavoro svolto nella procedura di lavoro potrebbe essere svolto nell'app. È più semplice ridimensionare il livello app rispetto al livello dati.

Concordo con Mark sul fatto che la comunità si stia davvero allontanando dalle procedure memorizzate da un po 'di tempo. Mentre molti dei punti che il poster originale ha sollevato perché potremmo voler usare SP erano validi in una volta, è stato un bel po 'di tempo e, come diceva un altro poster, l'ambiente è cambiato. Ad esempio, ricordo che un argomento per l'utilizzo di SP "back in the day" è stato il miglioramento delle prestazioni ottenuto perché i loro piani di esecuzione erano "precompilati" mentre SQL dinamico del nostro codice doveva essere "ricompilato" con ogni esecuzione. Questo non è più il caso poiché i principali database sono cambiati, migliorati, adattati, ecc.

Detto questo, stiamo usando SP sul mio progetto attuale. Il motivo è semplicemente perché stiamo costruendo nuove applicazioni su un database esistente che supporta ancora applicazioni legacy. Di conseguenza, apportare modifiche allo schema è molto difficile fino a quando non disattiviamo le app legacy. Abbiamo preso la decisione consapevole di progettare le nostre nuove applicazioni in base al comportamento e alle regole richieste per l'applicazione e di utilizzare gli SP per interfacciarsi temporaneamente con il database come vorremmo che fosse e consentire agli SP di adattarsi all'SQL esistente . Questo porta al punto precedente di un poster che gli SP rendono più semplice apportare modifiche a livello di database senza richiedere modifiche al codice dell'applicazione. L'uso degli SP come implementazione del modello Adapter ha sicuramente senso per me (specialmente per il mio attuale progetto),

In seguito, è nostra intenzione rimuovere gli SP quando lo schema viene aggiornato. Ma, come per tutto il resto nello sviluppo aziendale, vedremo se ciò accadrà mai! [sorriso]

Volevo solo fare una panoramica concisa di come consiglierei di usare le procedure memorizzate. Non penso che siano affatto una cattiva pratica e, come altri hanno già detto, dovrebbero essere usati nelle situazioni appropriate.

Riesco a vedere problemi in cui le procedure di scrittura per diverse applicazioni possono diventare confuse in termini di funzionalità e separare la logica di business dell'applicazione e far sì che il database diventi anche più disorganizzato e restrittivo.

Pertanto, utilizzerei una procedura memorizzata in attività orientate ai dati relazionali specifiche del database. In altre parole, se per le operazioni del database viene utilizzata una logica coerente con i dati per qualsiasi applicazione, è possibile utilizzare una procedura memorizzata per mantenere i dati memorizzati in modo coerente (ha senso). Penso che buoni esempi di ciò siano: registrazione coerente, manutenzione costante, lavoro con informazioni sensibili, ecc.

Altre attività che manipolano i dati per adattarsi alle esigenze dell'applicazione che seguono il modello di dati forte del database, penso, dovrebbero quindi essere archiviate in un altro livello contenente la logica aziendale. In breve, la manipolazione dei dati specifici del database per coerenza potrebbe utilizzare procedure memorizzate, in cui la coerenza si estende oltre il modello dello schema di integrità del database.

Le procedure memorizzate "per me" sono adatte per operazioni "sola lettura" OLAP, uso raro.

Per le regole aziendali, le operazioni di lettura / scrittura OLTP preferisco i server delle applicazioni Java. Per facilitare la codifica e per quanto possibile alleggerire il carico della CPU e della memoria dai server master db. In questa configurazione, tutto il codice nei server delle applicazioni non è difficile da rivedere o registrare ed è scalabile.

La cosa importante per me è il debug nel livello aziendale più semplice rispetto alle procedure memorizzate di debug.

Oltre a distribuire inutilmente la logica aziendale e legarti a un fornitore di database specifico, credo fermamente nell'usare una tecnologia per quello che era destinato. Un database è proprio questo, un archivio di dati relazionali. Usalo per memorizzare i dati, nient'altro.

Scegli i tuoi strumenti con saggezza e ti risparmierai un mondo di dolore a lungo termine.