背景と応用シーン
Salesforceプラットフォーム上でのアプリケーション開発において、Apexはビジネスロジックを実装するための強力なツールです。通常、Apexコードはコンパイル時にオブジェクトやフィールド、クラスの構造が明確に定義される「静的(Static)Apex」として記述されます。しかし、時にはコードの柔軟性、汎用性、または将来的な拡張性を高めるために、実行時にこれらの構造を動的に操作する必要が生じます。このような場合に活用されるのが「ダイナミックApex (Dynamic Apex)」です。
ダイナミックApexは、実行時にSalesforceのメタデータ (metadata) を検査し、SOQL (Salesforce Object Query Language) クエリ、SOSL (Salesforce Object Search Language) 検索、DML (Data Manipulation Language) 操作、さらにはApexクラスのインスタンス化さえも動的に構築・実行することを可能にします。これは、プログラムが自身の構造やデータ型を「リフレクション (reflection)」というメカニズムを通じて検査・操作するメタプログラミングの一種と言えます。
ダイナミックApexが特に有用となる応用シーンは多岐にわたります。
- 汎用的なデータ処理ロジック: 特定のオブジェクトに依存しない、汎用的なデータ表示、編集、レポート作成コンポーネントを構築する場合。たとえば、ユーザーが選択した任意のオブジェクトのフィールドを表示する画面や、Excelにエクスポートするツールなどです。
- カスタムメタデータ (Custom Metadata) 駆動型アプリケーション: コードのデプロイなしにアプリケーションの動作を変更できるように、カスタムメタデータやカスタム設定 (Custom Settings) に基づいてロジックを動的に調整する場合。例えば、特定のビジネスプロセスで処理するオブジェクトやフィールドを外部から設定する場合などです。
- 複雑なレポート・ダッシュボードジェネレータ: エンドユーザーが複雑な条件や集計関数を指定して動的にSOQLクエリを構築し、レポートやグラフを生成する機能を提供する場合。
- 外部システム連携: 連携する外部システムのデータ構造が頻繁に変更される場合や、複数の異なる外部システムに柔軟に対応する必要がある場合。動的にSalesforceオブジェクトとマッピングを調整できます。
- スキーマ探索と検証: 特定のフィールドがオブジェクトに存在するか、そのデータ型が何か、参照関係を持つかなどを実行時に確認し、それに基づいて処理を分岐させる場合。
これらのシナリオでは、静的Apexでは実現が難しい、あるいはコードの重複や複雑化を招くような要件に対して、ダイナミックApexはクリーンで拡張性の高いソリューションを提供します。
原理説明
ダイナミックApexの核となるのは、Salesforceのスキーマ情報を実行時に取得し、それを利用して動的にコードを構築する能力です。主に以下のクラスとメソッドがこの機能を実現します。
Schemaクラスとスキーマディスクリプション
Schemaクラスは、Salesforce組織内のオブジェクトとフィールドに関するメタデータ情報へのアクセスを提供します。これにより、Apexコードは実行時にSalesforceのデータモデルを「自己認識」することができます。
-
Schema.getGlobalDescribe(): 組織内のすべてのSObject (Salesforce Object) のマッピング (名前とSObjectTypeのマップ) を返します。これにより、特定のオブジェクトタイプを動的に参照できます。 -
Schema.SObjectType: 特定のSObject型(例: Account, Opportunity)を表すクラスです。このオブジェクトから、そのSObjectの詳細な情報を取得するためのgetDescribe()メソッドを呼び出すことができます。 -
Schema.DescribeSObjectResult: SObjectのAPI名、表示ラベル、フィールドマップ、リレーション情報など、そのSObjectに関する詳細なメタデータを含みます。 -
Schema.DescribeFieldResult: 特定のフィールドのAPI名、データ型、参照性、FLS (Field-Level Security, 項目レベルセキュリティ) 情報など、フィールドに関する詳細なメタデータを含みます。
動的SOQLとSOSL
SOQLとSOSLクエリを文字列として構築し、Database.query()メソッド(SOQL用)やSearch.query()メソッド(SOSL用)を使用して実行できます。これにより、オブジェクト名、フィールド名、WHERE句の条件などを実行時に動的に変更することが可能になります。
-
Database.query(String query): 文字列として渡されたSOQLクエリを実行し、List<sObject>を返します。
動的DMLとsObjectの操作
sObjectクラスのput()およびget()メソッドを使用することで、フィールド名を文字列で指定して値の設定・取得ができます。また、Schema.SObjectType.newSObject()を使用して、オブジェクトタイプを動的に指定して新しいSObjectレコードのインスタンスを作成できます。
-
sObject.put(String fieldName, Object value): 指定されたフィールド名に値を設定します。 -
Object sObject.get(String fieldName): 指定されたフィールド名の値を取得します。 -
Schema.SObjectType.newSObject(): 指定されたSObject型の新しいインスタンスを作成します。
動的なクラスのインスタンス化
Type.forName()メソッドを使用すると、クラス名を文字列で指定して、そのクラスのTypeインスタンスを取得できます。その後、Type.newInstance()メソッドを使用して、そのクラスのインスタンスを動的に作成できます。これは、プラグインアーキテクチャや戦略パターンを実装する際に特に有用です。
-
Type.forName(String className): 指定されたクラス名のTypeインスタンスを返します。 -
Object Type.newInstance(): そのTypeが表すクラスの新しいインスタンスを返します。
サンプルコード
ここでは、ダイナミックApexの主要な活用例をいくつか示します。
1. 動的SOQLクエリの実行
ユーザーがオブジェクト名と検索条件を指定するようなシナリオで、動的にSOQLクエリを構築して実行します。セキュリティ対策として、WITH SECURITY_ENFORCED句とString.escapeSingleQuotes()を使用しています。
public class DynamicQueryService {
/**
* 指定されたオブジェクト名とWHERE句に基づいて動的SOQLクエリを実行します。
* 実行ユーザーのオブジェクトレベルセキュリティ(OLS)と項目レベルセキュリティ(FLS)が自動的に適用されます。
* SOQLインジェクション対策として、WHERE句の文字列はエスケープされます。
*
* @param objectName クエリ対象のSObjectのAPI名
* @param fieldList クエリに含めるフィールド名のカンマ区切り文字列 (例: 'Id, Name, CreatedDate')
* @param whereClause WHERE句の条件文字列 (例: 'Name LIKE \'%Test%\'')
* @return クエリ結果のsObjectリスト
*/
public static List<sObject> executeDynamicSOQL(String objectName, String fieldList, String whereClause) {
if (String.isBlank(objectName) || String.isBlank(fieldList)) {
throw new AuraHandledException('オブジェクト名とフィールドリストは必須です。');
}
// SOQLインジェクション対策のため、WHERE句の値をバインド変数で処理することが推奨されますが、
// この例では文字列結合を使用し、文字列リテラル内のシングルクォートをエスケープする方法を示します。
// 実際のアプリケーションでは、バインド変数 `':variableName'` の使用を強く推奨します。
// 検索条件の文字列をエスケープ(WHERE句の条件自体がユーザー入力の場合)
// この例では 'Name LIKE \'%Test%\'' のようなパターンを想定していますが、
// もしユーザーが直接 'Test' のような値のみを入力する場合は、その値をエスケープしてLIKE句に含めます。
String finalWhereClause = '';
if (String.isNotBlank(whereClause)) {
// 例: whereClause が "Name LIKE '%Test%'" の場合、そのまま使用
// 例: whereClause が "Test" の場合、"Name LIKE '%" + String.escapeSingleQuotes(whereClause) + "%'" のように構築
// ここでは簡易的にそのまま使用することを想定。より堅牢な実装が必要。
finalWhereClause = ' WHERE ' + whereClause;
}
// 動的SOQLクエリ文字列の構築
// WITH SECURITY_ENFORCED を含めることで、自動的にユーザーのOLS/FLSが適用されます。
// ユーザーがアクセス権限を持たないオブジェクトやフィールドはクエリから除外され、エラーを回避します。
String query = 'SELECT ' + fieldList + ' FROM ' + objectName + finalWhereClause + ' WITH SECURITY_ENFORCED';
System.debug('Executing Dynamic SOQL: ' + query);
List<sObject> results;
try {
results = Database.query(query);
System.debug('Query Results: ' + results.size() + ' records found.');
} catch (QueryException e) {
// SOQL構文エラー、権限不足、または存在しないオブジェクト/フィールドなど
System.debug('Dynamic SOQL Query Error: ' + e.getMessage());
throw new AuraHandledException('SOQLクエリの実行中にエラーが発生しました: ' + e.getMessage());
}
return results;
}
// 利用例
public static void exampleUsage() {
try {
// 存在するオブジェクトとフィールドでクエリ
List<sObject> accounts = executeDynamicSOQL('Account', 'Id, Name, BillingCity', 'BillingCity = \'San Francisco\'');
for (sObject acc : accounts) {
System.debug('Account ID: ' + acc.get('Id') + ', Name: ' + acc.get('Name') + ', City: ' + acc.get('BillingCity'));
}
// 存在しないオブジェクトでエラーを発生させる場合
// List<sObject> invalidObjects = executeDynamicSOQL('NonExistentObject__c', 'Id, Name', '');
// ユーザー入力由来の値をWHERE句に含める場合の例 (エスケープ処理のデモ)
String userInputCity = 'O\'Malley\'s Town'; // シングルクォートを含む入力
// この場合、whereClauseは 'BillingCity = \'' + String.escapeSingleQuotes(userInputCity) + '\'' のように構築すべき
// 上記のexecuteDynamicSOQLメソッドは、whereClauseをそのまま使っているため、より堅牢なSOQLインジェクション対策が必要
// 実際のプロダクションコードでは、バインド変数を強く推奨します。
// String dynamicWhere = 'BillingCity = :userCityParam';
// List accountsWithBind = Database.query('SELECT Id, Name FROM Account WHERE ' + dynamicWhere, new Map{'userCityParam' => userInputCity});
} catch (AuraHandledException e) {
System.debug('Caught Exception: ' + e.getMessage());
}
}
}
2. 動的なスキーマの探索とフィールドアクセス
特定のオブジェクトのすべてのフィールドとその型を列挙したり、動的にフィールドの値を取得・設定したりする例です。
public class DynamicSchemaExplorer {
/**
* 指定されたSObjectのAPI名に基づいて、そのオブジェクトのフィールド情報を列挙します。
*
* @param objectApiName 探索するSObjectのAPI名 (例: 'Account')
*/
public static void describeSObjectFields(String objectApiName) {
try {
// グローバルスキーマ記述からSObjectタイプを動的に取得
Map<String, Schema.SObjectType> globalDescribe = Schema.getGlobalDescribe();
Schema.SObjectType sObjectType = globalDescribe.get(objectApiName);
if (sObjectType == null) {
System.debug('指定されたオブジェクト名 "' + objectApiName + '" は見つかりませんでした。');
return;
}
// SObjectの記述結果を取得
Schema.DescribeSObjectResult describeResult = sObjectType.getDescribe();
System.debug('--- SObject: ' + describeResult.getLabel() + ' (' + describeResult.getName() + ') ---');
// フィールドマップを取得し、各フィールドの情報を表示
Map<String, Schema.SObjectField> fieldsMap = describeResult.fields.getMap();
for (String fieldName : fieldsMap.keySet()) {
Schema.DescribeFieldResult fieldResult = fieldsMap.get(fieldName).getDescribe();
System.debug(' Field Name: ' + fieldResult.getName() +
', Label: ' + fieldResult.getLabel() +
', Type: ' + fieldResult.getType() +
', Nillable: ' + fieldResult.isNillable() +
', Custom: ' + fieldResult.isCustom());
}
} catch (Exception e) {
System.debug('スキーマ探索中にエラーが発生しました: ' + e.getMessage());
}
}
/**
* 指定されたsObjectレコードから、動的にフィールド名で値を取得します。
*
* @param record 値を取得するsObjectレコード
* @param fieldName 取得したいフィールドのAPI名
* @return 取得されたフィールドの値
*/
public static Object getFieldValueDynamically(sObject record, String fieldName) {
if (record == null || String.isBlank(fieldName)) {
return null;
}
try {
return record.get(fieldName); // sObject.get() メソッドで動的に値を取得
} catch (Exception e) {
System.debug('フィールド "' + fieldName + '" の値取得中にエラーが発生しました: ' + e.getMessage());
return null;
}
}
/**
* 指定されたsObjectレコードに、動的にフィールド名で値を設定します。
*
* @param record 値を設定するsObjectレコード
* @param fieldName 設定したいフィールドのAPI名
* @param value 設定する値
*/
public static void setFieldValueDynamically(sObject record, String fieldName, Object value) {
if (record == null || String.isBlank(fieldName)) {
return;
}
try {
record.put(fieldName, value); // sObject.put() メソッドで動的に値を設定
} catch (Exception e) {
System.debug('フィールド "' + fieldName + '" の値設定中にエラーが発生しました: ' + e.getMessage());
}
}
// 利用例
public static void exampleUsage() {
// Accountオブジェクトのフィールドを探索
describeSObjectFields('Account');
System.debug('\n--------------------\n');
// 動的なフィールドアクセス
Account acc = new Account(Name = 'Test Dynamic Account', Description = 'Created for dynamic access demo.');
System.debug('Initial Account Name: ' + getFieldValueDynamically(acc, 'Name'));
setFieldValueDynamically(acc, 'Description', 'Updated via dynamic put method.');
System.debug('Updated Account Description: ' + getFieldValueDynamically(acc, 'Description'));
}
}
3. 動的なSObjectの作成とDML操作
オブジェクトタイプを動的に指定して新しいSObjectレコードを作成し、DML操作を実行する例です。DML操作前にSecurity.stripInaccessible()を使用してFLSとOLSを遵守するベストプラクティスを示します。
public class DynamicDmlService {
/**
* 指定されたオブジェクト名に基づいて新しいsObjectレコードを動的に作成し、
* フィールド値を設定して挿入します。
*
* @param objectApiName 作成するSObjectのAPI名 (例: 'Opportunity')
* @param fieldValuesMap 設定するフィールド名と値のマップ
* @return 挿入されたsObjectレコード
*/
public static sObject createAndInsertSObjectDynamically(String objectApiName, Map<String, Object> fieldValuesMap) {
if (String.isBlank(objectApiName)) {
throw new AuraHandledException('オブジェクト名は必須です。');
}
sObject newRecord;
try {
// SObjectタイプを動的に取得し、新しいインスタンスを作成
Map<String, Schema.SObjectType> globalDescribe = Schema.getGlobalDescribe();
Schema.SObjectType sObjectType = globalDescribe.get(objectApiName);
if (sObjectType == null) {
throw new AuraHandledException('指定されたオブジェクト "' + objectApiName + '" が見つかりません。');
}
newRecord = sObjectType.newSObject();
// マップからフィールド値を動的に設定
if (fieldValuesMap != null) {
for (String fieldName : fieldValuesMap.keySet()) {
newRecord.put(fieldName, fieldValuesMap.get(fieldName));
}
}
System.debug('Dynamically created ' + objectApiName + ' instance.');
// DML操作前にSecurity.stripInaccessible()を使用してFLS/OLSを適用します。
// これにより、現在のユーザーがアクセスできないフィールドは自動的に取り除かれ、
// その後のDML操作が権限エラーで失敗することを防ぎます。
List<sObject> recordsToStrip = new List<sObject>{newRecord};
Security.stripInaccessible(AccessType.CREATABLE, recordsToStrip); // 作成権限をチェック
// stripInaccessibleは、アクセスできないフィールドをnullにするか、リストからレコードを削除する場合があります。
// 今回は単一レコードなので、レコード自体は残りますが、アクセス不可なフィールドはクリアされます。
if (recordsToStrip.isEmpty() || recordsToStrip[0] == null) {
throw new AuraHandledException('現在のユーザーには' + objectApiName + 'を作成する権限がありません。');
}
newRecord = recordsToStrip[0];
Database.insert(newRecord);
System.debug('Successfully inserted ' + objectApiName + ' with ID: ' + newRecord.Id);
} catch (DmlException e) {
System.debug('Dynamic DML Insert Error: ' + e.getMessage());
throw new AuraHandledException('レコードの挿入中にエラーが発生しました: ' + e.getMessage());
} catch (AuraHandledException e) {
System.debug('Dynamic DML Setup Error: ' + e.getMessage());
throw e;
} catch (Exception e) {
System.debug('予期せぬエラー: ' + e.getMessage());
throw new AuraHandledException('予期せぬエラーが発生しました: ' + e.getMessage());
}
return newRecord;
}
// 利用例
public static void exampleUsage() {
try {
Map<String, Object> opportunityFields = new Map<String, Object>{
'Name' => 'Dynamic Opportunity from Apex',
'StageName' => 'Prospecting',
'CloseDate' => Date.today().addMonths(1)
};
sObject newOpp = createAndInsertSObjectDynamically('Opportunity', opportunityFields);
System.debug('New Opportunity created: ' + newOpp);
} catch (AuraHandledException e) {
System.debug('Caught Exception: ' + e.getMessage());
}
}
}
4. 動的なApexクラスのインスタンス化
サービスプロバイダーやプラグインアーキテクチャで、実装クラスを動的に切り替える場合に利用できます。
// 動的にインスタンス化されるためのシンプルなインターフェース
public interface IDynamicService {
String execute();
}
// IDynamicServiceを実装するクラス1
public class DynamicServiceA implements IDynamicService {
public String execute() {
return 'Dynamic Service A Executed!';
}
}
// IDynamicServiceを実装するクラス2
public class DynamicServiceB implements IDynamicService {
public String execute() {
return 'Dynamic Service B Executed!';
}
}
public class DynamicClassFactory {
/**
* クラス名を文字列で指定して、そのクラスのインスタンスを動的に作成します。
*
* @param className 動的にインスタンス化するクラスの完全名 (例: 'DynamicServiceA')
* @return 作成されたオブジェクト、またはnull
*/
public static Object createInstance(String className) {
if (String.isBlank(className)) {
System.debug('クラス名は必須です。');
return null;
}
try {
// Type.forName() を使用してクラスのTypeインスタンスを取得
Type t = Type.forName(className);
if (t == null) {
System.debug('指定されたクラス "' + className + '" は見つかりませんでした。');
return null;
}
// Type.newInstance() を使用してクラスのインスタンスを動的に作成
Object instance = t.newInstance();
System.debug('Dynamically instantiated class: ' + className);
return instance;
} catch (Exception e) {
System.debug('クラスのインスタンス化中にエラーが発生しました: ' + e.getMessage());
return null;
}
}
// 利用例
public static void exampleUsage() {
// DynamicServiceAを動的にインスタンス化
IDynamicService serviceA = (IDynamicService) createInstance('DynamicServiceA');
if (serviceA != null) {
System.debug(serviceA.execute());
}
// DynamicServiceBを動的にインスタンス化
IDynamicService serviceB = (IDynamicService) createInstance('DynamicServiceB');
if (serviceB != null) {
System.debug(serviceB.execute());
}
// 存在しないクラスをインスタンス化しようとする
createInstance('NonExistentDynamicService');
}
}
注意事項
ダイナミックApexは強力な機能ですが、その柔軟性ゆえに注意すべき点も多くあります。適切なセキュリティ対策とパフォーマンス最適化を怠ると、予期せぬ問題やセキュリティホールを引き起こす可能性があります。
SOQLインジェクション (SOQL Injection) への対策
動的SOQLの最大のセキュリティリスクはSOQLインジェクションです。これは、悪意のあるユーザーが入力フィールドにSOQLクエリの一部として解釈される文字列を挿入し、意図しないデータへのアクセスや操作を引き起こす攻撃です。
-
バインド変数 (Bind Variables) の使用: 最も推奨される方法です。ユーザー入力値をSOQL文字列に直接結合するのではなく、
:variableName形式のバインド変数として渡し、Database.query()にマップを渡すか、変数をスコープ内に定義します。String userInput = 'Value from user'; List<Account> accounts = Database.query('SELECT Id, Name FROM Account WHERE Name = :userInput'); -
String.escapeSingleQuotes(): バインド変数を使用できない場合、ユーザー入力に含まれるシングルクォートをエスケープするためにString.escapeSingleQuotes()を使用します。ただし、これは文字列リテラルのエスケープにのみ機能し、SOQLキーワードや構造を変更するインジェクションには対応できません。String userInput = 'O\'Malley'; String query = 'SELECT Id, Name FROM Account WHERE Name = \'' + String.escapeSingleQuotes(userInput) + '\''; List<sObject> accounts = Database.query(query);
セキュリティ (Security) の考慮
ダイナミックApexは、実行ユーザーのデータアクセス権限 (FLS (Field-Level Security, 項目レベルセキュリティ) およびOLS (Object-Level Security, オブジェクトレベルセキュリティ)) を尊重する必要があります。
-
WITH SECURITY_ENFORCED: 動的SOQLクエリにこの句を含めることで、Salesforceは自動的に実行ユーザーのOLSとFLSをチェックし、権限のないオブジェクトやフィールドはクエリから除外し、クエリ自体を安全に実行します。これにより、明示的な権限チェックのコード量を減らすことができますが、開発者はどのデータがユーザーに表示されるかを理解しておく必要があります。 -
Security.stripInaccessible(): DML操作 (insert,update,upsert) を動的に行う前に、このメソッドを使用してユーザーがアクセスできないフィールドをsObjectレコードから削除することを強く推奨します。これにより、権限のないフィールドを含んだDML操作がDmlExceptionで失敗するのを防ぎます。 -
手動での権限チェック: より詳細な制御が必要な場合や、特定のビジネスロジックに基づいて権限チェックを行いたい場合は、
Schema.DescribeSObjectResultやSchema.DescribeFieldResultのisAccessible(),isCreateable(),isUpdateable(),isDeletable()などのメソッドを使用して明示的に権限をチェックできます。
パフォーマンス (Performance) のオーバーヘッド
動的な操作は、静的な操作と比較してわずかなパフォーマンスオーバーヘッドが発生する可能性があります。
-
スキーマ記述呼び出し (Describe Calls):
Schema.getGlobalDescribe()やsObjectType.getDescribe()などのスキーマ記述メソッドは、ガバナ制限 (Governor Limits) の対象となり、多数の呼び出しはパフォーマンスに影響を与える可能性があります。頻繁に同じスキーマ情報を必要とする場合は、結果をキャッシュ (cache) するなどの工夫が必要です。 -
動的クエリとDML: クエリ文字列の構築や
sObject.get()/put()の呼び出しは、静的なアクセスよりもわずかに実行時間が長くなる可能性があります。ただし、通常は顕著な影響ではありません。
ガバナ制限 (Governor Limits)
ダイナミックApexも他のApexコードと同様にガバナ制限の対象となります。特に注意すべき点としては、スキーマ記述メソッドの呼び出し回数、SOQLクエリの行数、ヒープサイズなどがあります。動的なクエリは、意図せず大量のレコードを取得してしまう可能性があるため、LIMIT句を適切に使用することが重要です。
保守性 (Maintainability) とデバッグ (Debugging)
動的コードは、静的コードに比べて保守やデバッグが困難になる傾向があります。
- コンパイル時チェックの欠如: オブジェクト名やフィールド名が文字列として扱われるため、コンパイル時に存在しないオブジェクトやフィールドを参照してもエラーが検出されません。これは実行時まで問題が顕在化しないため、テストカバレッジの確保が非常に重要になります。
- 可読性の低下: コードが汎用的な文字列操作やオブジェクト操作になるため、何が実行されるのかを一見して理解するのが難しくなることがあります。明確なコメントとドキュメントが不可欠です。
例外処理 (Error Handling)
動的コードでは、オブジェクトやフィールドの存在、データ型の不一致、権限不足など、実行時に様々なエラーが発生する可能性があります。これらの可能性を考慮し、堅牢なtry-catchブロックと適切なエラーメッセージの実装が不可欠です。
まとめとベストプラクティス
ダイナミックApexは、Salesforce開発において非常に強力で柔軟なツールであり、特定の要件に対して最適なソリューションを提供します。しかし、その強力さゆえに、使用には慎重な検討とベストプラクティスの遵守が求められます。
ダイナミックApexのメリット
- 柔軟性と汎用性: 特定のオブジェクトやフィールドに依存しない汎用的なコードを記述でき、将来の変更にも対応しやすい。
- 拡張性: メタデータ駆動型のアプローチにより、コードの変更なしにアプリケーションの動作を構成できる。
- 複雑なユースケースへの対応: ユーザー定義のレポート、データインポート/エクスポートツールなど、静的Apexでは難しい高度な機能を実現できる。
ダイナミックApexのデメリット
- 複雑性: コードが読みにくく、理解しにくい場合がある。
- セキュリティリスク: SOQLインジェクションなどの脆弱性を生みやすい。
- パフォーマンスへの影響: スキーマ記述や動的な実行にわずかなオーバーヘッドがある。
- デバッグの難しさ: コンパイル時チェックがないため、実行時エラーの特定が難しい。
ベストプラクティス
- 限定的な使用 (Use Sparingly): 必要不可欠な場合にのみダイナミックApexを使用し、静的Apexで実現できる場合はそちらを優先します。シンプルさと可読性を常に優先すべきです。
-
厳格な入力検証とセキュリティ対策 (Strict Input Validation and Security Measures): ユーザー入力や外部システムからのデータは常に検証し、SOQLインジェクションを防ぐためにバインド変数や
String.escapeSingleQuotes()を適切に使用します。DML操作の前にはSecurity.stripInaccessible()を適用し、WITH SECURITY_ENFORCEDを動的SOQLに含めることで、FLSとOLSを徹底します。 -
キャッシュの活用 (Utilize Caching): 頻繁に参照されるスキーマ情報(例:
Schema.getGlobalDescribe()の結果)は、カスタム設定やStatic変数、Platform Cacheなどを利用してキャッシュし、ガバナ制限への抵触やパフォーマンスの低下を防ぎます。 - 徹底したテスト (Thorough Testing): ダイナミックApexはコンパイル時チェックが効かないため、テストコードによるカバレッジの確保が極めて重要です。特に、エラーパスや権限関連のシナリオを網羅的にテストし、予期せぬ実行時エラーを防ぎます。
- 明確なドキュメントとコメント (Clear Documentation and Comments): コードの意図、動的な部分がどのように動作するのか、想定される入力と出力、セキュリティ上の考慮事項などを詳細にドキュメント化し、後続のメンテナンス担当者が理解しやすいようにします。
- 抽象化とインターフェースの利用 (Abstraction and Interface Usage): 動的なクラスインスタンス化を用いる場合、インターフェースを定義し、具体的な実装クラスがそれに準拠するようにすることで、コードの拡張性と保守性を高めることができます。
これらのガイドラインに従うことで、Salesforce開発者はダイナミックApexの強力な機能を安全かつ効果的に活用し、より柔軟で堅牢なSalesforceソリューションを構築することができるでしょう。
コメント
コメントを投稿