# ORMs

Objeticos de aprendizaje:

1. Código SQL
    - SQL Injection
    - SQL Sanitization
2. SQL with SQLModel
3. ORMs y SQL


## Código SQL

Veamos un ejemplo de una consulta SQL simple para obtener todos los datos de la tabla de asegurados:

```SQL
SELECT * FROM asegurados;
```

![select_asegurado.png](attachment:select_asegurado.png)

SQL no fue diseñado para mezclarse con código normal e.g. Python.

Entonces, si usamos Python, la opción más simple sería colocar el código SQL dentro de una string y enviar esa cadena directamente a la base de datos.

```python
statement = "SELECT * FROM asegurados;"

results = database.execute(statement)
```

Pero no tendríamos compatibilidad con el editor, errores en línea, autocompletado, etc. Para el editor el comando SQL es sólo una string.

En la mayoría de los casos, enviaríamos strings con modificaciones y parámetros. Por ejemplo, para obtener los datos de un ID de artículo específico, un rango de fechas, etc.

Por ejemplo:

```SQL
SELECT *
FROM asegurados
WHERE id = 2;
```

Es probable que el `2` sea un input de un usuario.

### SQL Injection

Digamos que nuestro código toma lo que proporciona un usuario externo y lo coloca dentro del string SQL antes de enviarlo a la base de datos:

``` python
asegurado_id = input("Escribe el id del asegurado: ")

statement = f"SELECT * FROM asegurados WHERE id = {asegurado_id};"

results = database.execute(statement)
```

Nada impediría que un usuario externo envía una cadena SQL maliciosa que hace algo terrible como eliminar todos los registros. Eso se llama una **SQL Injection**.

Por ejemplo:

``` SQL
2; DROP TABLE asegurados
```

El código pyhon que toma la entrada del usuario y la coloca en SQL en realidad enviaría esto a la base de datos:

``` SQL
SELECT * FROM asegurados WHERE id = 2; DROP TABLE asegurados;
```

### SQL Sanitization

El proceso de asegurarse de que cualquier cosa que un usuario externo envíe sea seguro para usar en la string SQL se denomina **SQL Sanitization**.

Esta característica viene por defecto en SQLModel.


## SQL with SQLModel

Con `SQLModel`, en lugar de escribir instrucciones SQL directamente, usamos clases y objetos de Python para interactuar con la base de datos.

Por ejemplo:

```python

asegurado_id = input("Escribe el id del asegurado: ")

session.exec(
    select(Asegurado).where(Asegurado.id == asegurado_id)
).all()

```

Por tanto, usando `SQLModel`:

1. Podemos prevenir ataques a nuestra base de datos.
2. Tendremos soporte de editores.


## ORMs y SQL

Los paquetes que traducen entre SQL y código con clases y objetos se denominan ORM.

ORM significa **Object-Relational Mapper**.

- Object: se refiere al código con clases e instancias, a.k.a. programación orientada a objetos.

In [1]:
from typing import Optional
from sqlmodel import SQLModel, Field

class Asegurado(SQLModel):
    id: Optional[int] = Field(default=None, primary_key=True)
    nombre: str
    lob: str
    edad: Optional[int] = None

- Relational: se refiere a las bases de datos SQL, porque las tablas también se conocen como relaciones.
<br>

- Mapper: Es un término tomado de matemáticas, cuando hay algo que puede convertir un conjunto de cosas a otro, eso se llama "map-function".