🟦 PL/SQL — Guide complet (Oracle)

1.1 — PL/SQL : rôle, usages, architecture (mental model)

Pourquoi PL/SQL existe

Oracle a ajouté PL/SQL pour exprimer des règles métier et des traitements au plus près des données : validations, batch, orchestration, APIs internes, manipulations de gros volumes, et gestion transactionnelle robuste.

Forces	Impact	Exemples
Proximité données	moins d’allers-retours app ↔ DB	batch nightly, calculs, consolidation
Transactions	COMMIT/ROLLBACK maîtrisés	process multi-tables cohérents
Encapsulation	API DB (packages) stable	pkg_customer.create_customer()
Exceptions	erreurs gérées + logging	RAISE_APPLICATION_ERROR, journaux

Phrase clé : PL/SQL doit servir à produire un résultat côté DB (perf/consistance), pas à réinventer une application complète dans la base.

Où l’utiliser (cas “bons”)

APIs DB : packages exposant des procédures/fonctions stables (contrat).
Batch / ETL : traitement volumétrique, transformations, agrégations.
Garanties métier : validations impossibles côté app seule (cohérence multi-tables).
Audit : journalisation centralisée (attention aux triggers lourds).
Ops DBA : scripts maintenance, purge, reindex, job scheduler.

Où éviter (souvent)

Logique UI/HTTP/JSON trop “application” (mieux côté service back).
Triggers complexes en cascade (difficile à déboguer & perf).
SQL dynamique sans bind variables (risque injection + perf).

Modèle d’exécution (simple)

Client (app) → Oracle SQL Engine → (si besoin) PL/SQL Engine → SQL Engine → résultat Points clés: - Le SQL est exécuté par le SQL Engine - Le PL/SQL orchestre (boucles, conditions, exceptions) - Les allers/retours PL/SQL↔SQL ("context switches") coûtent cher => préférer BULK/FORALL

Idée : écrire PL/SQL qui pousse le maximum de travail “en set-based SQL”, puis PL/SQL pour orchestrer / sécuriser / logger.

Anti-patterns fréquents

Anti-pattern	Pourquoi c’est mauvais	Alternative
Row-by-row (cursor loop sur millions)	lent, context switches	SQL set-based + BULK COLLECT / FORALL
Triggers qui font “tout”	debug difficile, perf aléatoire	packages + contraintes + audit ciblé
EXECUTE IMMEDIATE concat	injection + hard parse	bind variables + DBMS_ASSERT si nécessaire

1.2 — Blocs PL/SQL : DECLARE / BEGIN / EXCEPTION / END

Structure canonique

DECLARE
  -- Déclarations (variables, constantes, types)
  v_customer_id  NUMBER;
  v_name         VARCHAR2(200);
BEGIN
  -- Logique
  SELECT customer_id, name
    INTO v_customer_id, v_name
    FROM customers
   WHERE email = 'a@b.com';

  DBMS_OUTPUT.PUT_LINE('ID='||v_customer_id||' name='||v_name);

EXCEPTION
  WHEN NO_DATA_FOUND THEN
    DBMS_OUTPUT.PUT_LINE('No customer');
  WHEN TOO_MANY_ROWS THEN
    DBMS_OUTPUT.PUT_LINE('Email not unique!');
  WHEN OTHERS THEN
    -- à traiter proprement (log + re-raise si nécessaire)
    DBMS_OUTPUT.PUT_LINE('Unexpected: '||SQLERRM);
END;
/

Types & variables (rappel)

Type	Usage	Tips
NUMBER	numériques	précision/scale si besoin
VARCHAR2	texte	taille suffisante, éviter CHAR sauf cas
DATE / TIMESTAMP	temps	préférer TIMESTAMP si précision
%TYPE / %ROWTYPE	typages “dynamiques”	réduit mismatch avec schéma

Scope & bonnes pratiques

%TYPE pour coller au schéma (moins d’erreurs lors des évolutions).
NULL = valeur “inconnue” : attention aux comparaisons (utiliser IS NULL).
Préférer constants et noms explicites (préfixes v_/p_/g_).
Éviter DBMS_OUTPUT en prod → instrumentation propre (table log / APEX_DEBUG / etc.).

Truc pro : variables ancrées

v_salary employees.salary%TYPE;
v_emp    employees%ROWTYPE;

Tip : si ton code évolue beaucoup, ancrer les types au schéma réduit énormément les régressions.

2.1 — Procédures & fonctions : contrats, paramètres, patterns

Procédure

Une procédure exécute une action (insert/update/process) ; elle ne “retourne” pas directement une valeur comme une fonction, mais peut utiliser OUT/IN OUT.

CREATE OR REPLACE PROCEDURE p_create_customer(
  p_email IN  VARCHAR2,
  p_name  IN  VARCHAR2,
  p_id    OUT NUMBER
) AS
BEGIN
  INSERT INTO customers(email, name) VALUES(p_email, p_name)
  RETURNING customer_id INTO p_id;
END;
/

Fonction

Une fonction retourne une valeur. Elle est souvent utilisée dans SQL (avec prudence) ou dans du PL/SQL.

CREATE OR REPLACE FUNCTION f_customer_status(p_id IN NUMBER)
RETURN VARCHAR2
AS
  v_status VARCHAR2(20);
BEGIN
  SELECT status INTO v_status FROM customers WHERE customer_id = p_id;
  RETURN v_status;
EXCEPTION
  WHEN NO_DATA_FOUND THEN
    RETURN 'UNKNOWN';
END;
/

Prudence : les fonctions appelées “dans SQL” peuvent impacter perf et générer des surprises (purity, context).

IN / OUT / IN OUT

Mode	Rôle	À utiliser quand
IN	entrée (read-only)	paramètre “normal”
OUT	sortie	renvoyer un id / statut / résultats
IN OUT	entrée + sortie	rare ; éviter si API peut être plus claire

-- Nommer clairement:
p_customer_id IN NUMBER
o_status      OUT VARCHAR2

Patterns d’API PL/SQL (pro)

Pattern	Idée	Exemple
CRUD API package	exposer des opérations stables	pkg_customer.create/update/delete
Validation centralisée	une seule source de vérité	pkg_rules.validate_order()
Batch orchestrator	coordonne étapes + commits	pkg_batch.run(p_date)

2.2 — Cursors, boucles & bulk processing (éviter le row-by-row)

Cursor FOR loop (simple)

FOR r IN (SELECT customer_id FROM customers WHERE status='ACTIVE') LOOP
  -- traitement
  NULL;
END LOOP;

Bulk Collect + FORALL (pro perf)

DECLARE
  TYPE t_ids IS TABLE OF customers.customer_id%TYPE;
  v_ids t_ids;
BEGIN
  SELECT customer_id BULK COLLECT INTO v_ids
  FROM customers
  WHERE status='ACTIVE';

  FORALL i IN 1..v_ids.COUNT
    UPDATE customers SET last_seen = SYSTIMESTAMP
    WHERE customer_id = v_ids(i);
END;
/

Pourquoi c’est rapide : FORALL réduit les context switches PL/SQL↔SQL et pousse les opérations en “set”.

Règles de perf

Préférer SQL set-based (UPDATE/INSERT MERGE) plutôt que boucles.
Si boucle obligatoire : BULK COLLECT (par batch) + FORALL.
Utiliser un LIMIT sur bulk collect en très gros volumes.
Mesurer : instrumentation + stats + plans SQL (sinon “optimisations” inutiles).

Bulk par batches

LOOP
  FETCH c BULK COLLECT INTO v_rows LIMIT 1000;
  EXIT WHEN v_rows.COUNT = 0;

  FORALL i IN 1..v_rows.COUNT
    -- DML
END LOOP;

Astuce : choisir LIMIT (ex 500/1000/5000) selon mémoire/redo/perf.

3.1 — Packages : Spec vs Body, encapsulation, design d’API

Package Spec (contrat public)

CREATE OR REPLACE PACKAGE pkg_customer AS
  PROCEDURE create_customer(p_email IN VARCHAR2, p_name IN VARCHAR2, o_id OUT NUMBER);
  FUNCTION  get_status(p_id IN NUMBER) RETURN VARCHAR2;

  -- Constantes publiques (si utile)
  c_status_active CONSTANT VARCHAR2(10) := 'ACTIVE';
END pkg_customer;
/

Package Body (implémentation)

CREATE OR REPLACE PACKAGE BODY pkg_customer AS

  -- Private helper (non exposé)
  FUNCTION normalize_email(p_email IN VARCHAR2) RETURN VARCHAR2 IS
  BEGIN
    RETURN LOWER(TRIM(p_email));
  END;

  PROCEDURE create_customer(p_email IN VARCHAR2, p_name IN VARCHAR2, o_id OUT NUMBER) AS
  BEGIN
    INSERT INTO customers(email, name)
    VALUES(normalize_email(p_email), p_name)
    RETURNING customer_id INTO o_id;
  END;

  FUNCTION get_status(p_id IN NUMBER) RETURN VARCHAR2 AS
    v_status customers.status%TYPE;
  BEGIN
    SELECT status INTO v_status FROM customers WHERE customer_id = p_id;
    RETURN v_status;
  EXCEPTION
    WHEN NO_DATA_FOUND THEN RETURN 'UNKNOWN';
  END;

BEGIN
  -- Section d'initialisation du package (optionnelle)
  NULL;
END pkg_customer;
/

Pourquoi les packages sont “la brique pro”

Encapsulation : tu exposes une API stable, tu caches les détails.
Contrat : la spec sert de documentation vivante.
Organisation : regrouper par domaine (customer, billing, batch, security).
Versioning : limiter les breaking changes pour les apps clientes.

Conventions (recommandées)

Élément	Convention	Exemple
Noms	pkg_ + domaine	pkg_order
Procédures	verbe + objet	create_order
Paramètres	p_ / o_	p_id / o_status
Privés	helpers dans body	validate_x()

Rule of thumb : ton app devrait appeler pkg_domain.action(), pas manipuler 12 tables directement.

3.2 — Triggers : usages, audit, pièges, alternatives

Trigger : exemple simple

CREATE OR REPLACE TRIGGER trg_customers_ts
BEFORE INSERT OR UPDATE ON customers
FOR EACH ROW
BEGIN
  :NEW.updated_at := SYSTIMESTAMP;
  IF INSERTING THEN
    :NEW.created_at := SYSTIMESTAMP;
  END IF;
END;
/

Bon usage : timestamps, contraintes techniques, enrichissement simple et local.

Audit (pattern classique)

CREATE OR REPLACE TRIGGER trg_customers_audit
AFTER INSERT OR UPDATE OR DELETE ON customers
FOR EACH ROW
BEGIN
  INSERT INTO audit_log(table_name, action, pk, at_ts)
  VALUES('CUSTOMERS',
         CASE WHEN INSERTING THEN 'I' WHEN UPDATING THEN 'U' ELSE 'D' END,
         NVL(:NEW.customer_id, :OLD.customer_id),
         SYSTIMESTAMP);
END;
/

Conseil : garder l’audit minimal et non bloquant (éviter logique métier lourde dans le trigger).

Pièges (très fréquents)

Piège	Conséquence	Signal
Trigger qui appelle d’autres tables / commits	perf + blocages + complexité	latence imprévisible
Cascades	effets de bord invisibles	bug “fantôme”
Mutating table	erreurs runtime	ORA-04091
Logique métier lourde	hard to test, hard to reason	changement coûteux

Alternatives recommandées

Contraintes (NOT NULL, CHECK, FK, UNIQUE) : simples, rapides, explicites.
Packages API : le métier est dans l’API, pas dans des triggers cachés.
Jobs (DB scheduler) : traitements asynchrones (purges, recalculs).
Audit applicatif : pour besoins riches (qui/quand/quoi + contexte).

4.1 — SQL dynamique : EXECUTE IMMEDIATE, binds, DBMS_SQL, sécurité

EXECUTE IMMEDIATE (avec bind variables)

DECLARE
  v_sql   VARCHAR2(4000);
  v_cnt   NUMBER;
  p_status VARCHAR2(20) := 'ACTIVE';
BEGIN
  v_sql := 'SELECT COUNT(*) FROM customers WHERE status = :1';
  EXECUTE IMMEDIATE v_sql INTO v_cnt USING p_status;
  DBMS_OUTPUT.PUT_LINE('cnt='||v_cnt);
END;
/

DML dynamique (bind)

v_sql := 'UPDATE customers SET status = :1 WHERE customer_id = :2';
EXECUTE IMMEDIATE v_sql USING 'INACTIVE', 1234;

Ce qu’il ne faut PAS faire

-- ❌ Injection + hard parse :
v_sql := 'SELECT * FROM customers WHERE email = ''' || p_email || '''';

Règles de sécurité

Toujours utiliser des bind variables pour les valeurs.
Si besoin d’objets dynamiques (table/col) : whitelists + DBMS_ASSERT.
Limiter les privilèges (least privilege).

Perf : concaténer des valeurs = hard parse fréquent. Les binds aident cache de curseurs / stabilité.

Quand DBMS_SQL ?

DBMS_SQL est utile quand tu as des requêtes dynamiques très génériques (colonnes inconnues à compile-time, metadata, parsing avancé). Sinon, EXECUTE IMMEDIATE suffit dans la majorité des cas.

4.2 — Exceptions : stratégie d’erreurs, RAISE, RAISE_APPLICATION_ERROR

Exceptions Oracle courantes

Exception	Quand	Traitement
NO_DATA_FOUND	SELECT INTO 0 ligne	retour défaut / gestion métier
TOO_MANY_ROWS	SELECT INTO >1	corriger filtre / unicité
ZERO_DIVIDE	division par 0	guard clause
DUP_VAL_ON_INDEX	violation unique	upsert/merge, message clair
OTHERS	catch-all	log + re-raise (souvent)

RAISE_APPLICATION_ERROR (métier)

IF p_amount <= 0 THEN
  RAISE_APPLICATION_ERROR(-20001, 'Amount must be > 0');
END IF;

Codes usuels : -20000 à -20999 (réservés custom).

Stratégie pro (recommandée)

1) On traite localement si on peut résoudre (NO_DATA_FOUND => status='UNKNOWN') 2) Sinon : log + RAISE (ne pas avaler) 3) Toujours renvoyer un message exploitable (sans exposer secrets) 4) Standardiser le logging (table log, package logger)

Logging minimal (pattern)

BEGIN
  -- ...
EXCEPTION
  WHEN OTHERS THEN
    INSERT INTO app_error_log(at_ts, code, msg, backtrace)
    VALUES(SYSTIMESTAMP, SQLCODE, SQLERRM, DBMS_UTILITY.FORMAT_ERROR_BACKTRACE);
    RAISE;
END;

Anti-pattern : faire WHEN OTHERS THEN NULL; (ça masque les pannes).

5.1 — Performance PL/SQL : bulk, instrumentation, plan SQL, context switches

Checklist perf (ultra utile)

Point	Pourquoi	Action
Row-by-row ?	lent sur gros volumes	réécrire en set-based / BULK / FORALL
Context switches	coût PL/SQL↔SQL	regrouper DML / bulk
Indexes / stats	plan stable	analyser stats, revoir indexes
Hard parse	CPU	bind vars, éviter concat SQL
Instrumentation	sans métriques = au hasard	timers + logs + views perf

Bulk processing : la technique qui change tout

-- Pattern batch:
FETCH ... BULK COLLECT ... LIMIT N
FORALL ... DML
COMMIT (si batchs indépendants) / ou commit global selon cohérence

But : traiter 1000 lignes en 1 roundtrip, pas 1000 roundtrips.

Instrumentation (minimum viable)

DECLARE
  t0 NUMBER := DBMS_UTILITY.GET_TIME; -- centièmes
BEGIN
  -- traitement
  DBMS_OUTPUT.PUT_LINE('elapsed cs='||(DBMS_UTILITY.GET_TIME - t0));
END;
/

En prod, préfère un logger (table + contexte) plutôt que DBMS_OUTPUT. Ajoute : nom job, paramètres, counts, durée, erreurs, backtrace.

Le plan SQL (toujours regarder)

Si c’est lent, 80% du temps c’est: - un plan SQL mauvais (stats/index) - une cardinalité mal estimée - un row-by-row côté PL/SQL Donc: EXPLAIN PLAN / DBMS_XPLAN + stats + rewriting.

Suggestion IDEO-Lab : intégrer ton “Query Plan Auditor / EXPLAIN farm” pour auditer les requêtes utilisées dans les packages.

5.2 — Sécurité PL/SQL : AUTHID, grants, least privilege, dynamic SQL safe

Definer rights vs Invoker rights

Mode	Clé	Effet	Quand
Definer	par défaut	exécute avec droits du propriétaire	API DB classique
Invoker	AUTHID CURRENT_USER	droits de l’appelant	outils génériques, multi-schemas

CREATE OR REPLACE PACKAGE pkg_admin AUTHID CURRENT_USER AS
  PROCEDURE do_admin_task;
END;
/

Règles “least privilege”

Donner le minimum de GRANT nécessaire (SELECT/EXECUTE ciblés).
Éviter de sur-privilégier un schéma “app” (limiter CREATE ANY / etc.).
Auditer les EXECUTE sur packages sensibles.
Dynamic SQL : bind + whitelist + DBMS_ASSERT.

Erreur classique : “ça marche en DEV” (car schema owner) mais en PROD avec user restreint, ça casse. => définir clairement les droits d’exécution et tester avec un compte “réaliste”.

6.1 — Tests & qualité : utPLSQL, jeux de données, transactions, CI

Approche testable (réaliste)

Écrire des packages “pur métier” (fonctions) testables sans dépendances externes.
Isoler la logique DML dans des procédures, tester avec datasets contrôlés.
Utiliser des transactions / savepoints pour rollback entre tests.
Centraliser des utilitaires de test (seed data, cleanup).

utPLSQL (idée)

-- Ex pseudo (concept)
-- describe('pkg_customer')
-- it('should create customer')
-- expect(select count(*) ...).to_equal(1)

CI / pipeline (piste)

1) Déployer schéma sur DB de CI (container / instance) 2) Appliquer migrations (Liquibase/Flyway) 3) Déployer packages 4) Lancer tests (utPLSQL) 5) Générer rapport + gate

Si tu veux, on peut faire une modal dédiée “Liquibase/Flyway + PL/SQL + CI” adaptée à ton infra IDEO-Lab.

6.2 — Outils & workflow : SQL Developer, SQLcl, migrations, style, Git

Outil	Rôle	Pourquoi utile	Tips
SQL Developer	IDE Oracle	debug PL/SQL, objets DB	profilers, explain plan
SQLcl	CLI Oracle	scripts, automation, CI	idéal pipeline
Liquibase / Flyway	migrations	versioning schéma	séparer DDL vs code
Git	versioning	review, history, tags release	1 fichier = 1 objet
Formatter/Style	lisibilité	réduire friction équipe	conventions + lint

Convention “1 objet = 1 fichier” (recommandée)

db/
  packages/
    pkg_customer.pks
    pkg_customer.pkb
  procedures/
    p_rebuild_indexes.sql
  triggers/
    trg_customers_audit.sql

PL/SQL — Cheat-sheet (ultra pratique)

Syntaxe

-- bloc
DECLARE ... BEGIN ... EXCEPTION ... END; /

-- select into
SELECT col INTO v FROM t WHERE ...;

-- insert returning
INSERT ... RETURNING id INTO v_id;

-- exceptions
WHEN NO_DATA_FOUND THEN ...
WHEN OTHERS THEN ... SQLERRM ...

-- procedure/function
PROCEDURE p(x IN NUMBER, o OUT NUMBER);
FUNCTION f(x IN NUMBER) RETURN VARCHAR2;

-- package
PACKAGE spec / PACKAGE BODY

Perf & sécurité

-- bulk (volumes)
BULK COLLECT ... LIMIT
FORALL ... DML

-- dynamic SQL safe
EXECUTE IMMEDIATE '... :1 ...' USING v;

-- droits
AUTHID CURRENT_USER (invoker)
sinon definer rights

-- log erreurs
SQLCODE / SQLERRM / FORMAT_ERROR_BACKTRACE

Top 3 “pro” : 1) BULK/FORALL, 2) Packages API, 3) Dynamic SQL uniquement avec binds.

PL/SQL — Questions d’entretien (junior → senior) + réponses attendues

Niveau	Question	Ce qu’on attend
Junior	Différence procédure vs fonction ?	RETURN, usages, params OUT
Junior	NO_DATA_FOUND / TOO_MANY_ROWS ?	SELECT INTO et gestion
Confirmé	Pourquoi FORALL est plus rapide ?	context switches + bulk DML
Confirmé	Spec vs Body d’un package ?	contrat public vs impl
Senior	AUTHID CURRENT_USER vs definer ?	droits d’exécution + sécurité
Senior	Dynamic SQL : comment éviter injection ?	bind vars + whitelist + DBMS_ASSERT
Senior	Triggers : quand éviter ?	complexité/perf + alternatives
Senior	Comment diagnostiquer une lenteur ?	plan SQL + stats + instrumentation + rewrite

Le vrai “signal senior” : parler de perf (set-based, bulk), de sécurité (rights/binds), et de design API (packages) plutôt que de “syntax only”.

🟦 PL/SQL — Guide complet (Oracle)

Vue d’ensemble

Blocs & structure

Procédures & fonctions

Cursors & boucles

Packages (API)

Triggers

SQL dynamique

Exceptions & erreurs

Performance

Sécurité & droits

Tests & qualité

Outils & workflow