# Teil 17: Datenbanken und SQL

Wir haben bereits gelernt, wie Text- bzw. JSON-Dateien eingesetzt werden k√∂nnen, um Informationen √ºber die Laufzeit eines Programms hinaus zu sichern. **Datenbanken** erf√ºllen denselben Zweck - mit dem wesentlichen Vorteil, dass in ihnen **gro√üe Informationsmengen** in einer **konsistenten, festen Struktur** gespeichert werden k√∂nnen und diese mit **hoher Geschwindigkeit** abgerufen werden k√∂nnen.

## 17.0 Die *sqlite3*-Bibliothek

Wir besch√§ftigen uns in diesem Kapitel mit **relationalen Datenbanken**, die mit der Abfragesprache **SQL** verwaltet werden. Auch wenn es mittlerweile [Alternativen](https://de.wikipedia.org/wiki/NoSQL) zu solchen Datenbanken gibt, sind sie f√ºr viele Anwendungsf√§lle weiterhin der Standard.

Die in Python enthaltene **sqlite3**-Bibliothek ist ein guter Startpunkt, um sich mit relationalen Datenbanken vertraut zu machen. Normalerweise sind SQL-Datenbanken eigene Programme, die erst einmal installiert und gestartet werden m√ºssen, aber sqlite3 funktioniert mit einer einzelnen `.db`-Datei, die wir mit SQL-Befehlen in Python verwalten k√∂nnen. In der Praxis w√ºrde man aber ein von Python unabh√§ngiges Datenbankmanagement-System wie [PostgreSQL](https://www.postgresql.org/) oder [MariaDB](https://mariadb.org/) einsetzen und eine systemagnostische Python-Bibliothek wie [SQLAlchemy](https://www.sqlalchemy.org/) f√ºr Zugriffe im Code verwenden.

Um SQLite-Datenbank in einer graphischen Oberfl√§che zu untersuchen, kann die Desktopanwendung [DB Browser](https://sqlitebrowser.org/) verwendet werden.

In [None]:
import sqlite3

## 17.1 Datenbankverbindung herstellen

Wir nutzen die `connect`-Methode von sqlite3 mit dem `with ... as ...`-Konstrukt, das wir auch f√ºr das √ñffnen von Dateien verwendet haben. Damit stellen wir sicher, dass die √Ñnderungen an der Datenbank automatisch √ºbernommen werden. Trotzdem m√ºssen wir die Verbindung danach noch mit `.close()` beenden.

Der erste Funktionsparameter von `connect()` ist der Pfad zu einer Datenbank-Datei (`.db`). Falls diese Datei beim ersten Verbindungsaufbau noch nicht existiert, wird sie automatisch erstellt.

In [None]:
with sqlite3.connect('test.db') as conn:
    print("Datenbankverbindung hergestellt")

conn.close()
print("Datenbankverbindung geschlossen")

## 17.2 Tabellen erstellen und l√∂schen

Relationale Datenbanken bestehen aus **Tabellen**, deren Spalten bestimmte Datentypen besitzen. Mit dem SQL-Befehl `CREATE` erstellen wir solche Tabellen und legen dabei direkt die vorgesehenen Datentypen fest.

```sql
CREATE TABLE Tabellenname (
    Spaltenname1 DATENTYP,
    Spaltenname2 DATENTYP,
    ...
)
```

Das **L√∂schen** von Tabellen ist gef√§hrlich einfach: 
```sql
DROP TABLE Tabellenname
```

### Erstellen einer `Users`-Tabelle

Wir erstellen in diesem Kapitel eine Datenbank f√ºr ein einfaches Online-Forum. Daf√ºr legen wir zun√§chst eine **Users**-Tabelle mit folgenden Spalten an:
- Die **Nutzer-ID**: Eine Ganzzahl (INTEGER), die als Prim√§rschl√ºssel (PRIMARY KEY) den eindeutigen Zugriff auf die Zeile erlaubt.
- Der **Nutzername**: Ein Text mit maximal 50 Zeichen (VARCHAR(50)), der festgelegt werden muss (NOT NULL) und eindeutig sein muss (UNIQUE).
- Das **Passwort**: Ebenfalls ein Text mit maximal 50 Zeichen (VARCHAR(50)), der festgelegt werden muss (NOT NULL).

Der komplette SQL-Befehl zur Erstellung dieser Tabelle lautet:
```sql
CREATE TABLE IF NOT EXISTS Users (
    UserID INTEGER PRIMARY KEY,
    Name VARCHAR(50) NOT NULL UNIQUE,
    Password VARCHAR(50) NOT NULL
)
```
Um diesen Befehl in Python auszuf√ºhren, speichern wir ihn zun√§chst als String ab und nutzen dann die `cursor.execute()`-Methode, um ihn an die Datenbank zu schicken.

In [None]:
create_stmt = """
CREATE TABLE IF NOT EXISTS Users (
    UserID INTEGER PRIMARY KEY,
    Name VARCHAR(50) NOT NULL UNIQUE,
    Password VARCHAR(50) NOT NULL
)
"""

with sqlite3.connect('test.db') as conn:
    cursor = conn.cursor()
    cursor.execute(create_stmt)
    print("Tabelle 'Users' erstellt")

conn.close()

### L√∂schen der `Users`-Tabelle

Auch der `DROP TABLE`-Befehl kann mit `cursor.execute()` √ºbergeben werden.

In [None]:
delete_stmt = """
DROP TABLE Users
"""

with sqlite3.connect('test.db') as conn:
    cursor = conn.cursor()
    cursor.execute(delete_stmt)
    print("Tabelle 'Users' gel√∂scht")

conn.close()

### üõ†Ô∏è √úbung: `Threads`-Tabelle erstellen

Erstelle in der `test.db`-Datenbank eine weitere Tabelle namens **Threads**. Sie beinhaltet folgende Spalten:
- ThreadID: Ganzzahl und Prim√§rschl√ºssel
- Name: Text mit max. 100 Zeichen, muss eindeutig und nicht leer sein

In [None]:
# Platz f√ºr die √úbung



### Beziehungen zwischen Tabellen herstellen

Relationale Datenbanken zeichnen sich durch **Beziehungen** (Relationen) aus. Grundlegend sind daf√ºr sogenannte *foreign key constraints*, die beim Erstellen einer Tabelle definiert werden k√∂nnen. Sie legen fest, welche Spalten einer Tabelle auf eine andere Tabelle verweisen und verhindern Operationen, die zu inkonsistenten Datenbankzust√§nden f√ºhren w√ºrden (z.B. das L√∂schen einer Tabelle, die mit einer anderen Tabelle zusammenh√§ngt).

Der folgende Befehl erstellt die Tabelle `Posts` mit einer Beziehung zur `Users`-Tabelle. Daf√ºr muss die `Posts`-Tabelle eine eigene Spalte f√ºr die User-IDs erhalten und es muss explizit definiert werden, dass diese Spalte auf den Prim√§rschl√ºssel der `Users`-Tabelle verweist.
```sql
CREATE TABLE IF NOT EXISTS Posts (
    PostID INTEGER PRIMARY KEY,
    Content TEXT,
    UserID INTEGER NOT NULL,
    FOREIGN KEY (UserID) REFERENCES Users (UserID)
)
```

In [None]:
create_posts = """
CREATE TABLE IF NOT EXISTS Posts (
    PostID INTEGER PRIMARY KEY,
    Content TEXT,
    UserID INTEGER NOT NULL,
    FOREIGN KEY (UserID) REFERENCES Users (UserID)
)
"""

with sqlite3.connect('test.db') as conn:
    cursor = conn.cursor()
    cursor.execute(create_posts)
    print("Tabelle 'Posts' erstellt")

conn.close()

## 17.3 Daten einf√ºgen

Um Daten in eine Tabelle einzuf√ºgen, wird der `INSERT`-Befehl genutzt:
```sql
INSERT INTO Tabellename (relevante Spaltennamen, getrennt mit Kommas)
VALUES (relevante Werte, getrennt mit Kommas)
```

Der folgende Befehl erstellt einen neuen Eintrag in **Users**, indem Namen und Passwort eingef√ºgt werden. Die User-ID (der Prim√§rschl√ºssel) wird dabei automatisch auf 1 gesetzt und bei zuk√ºnftigen Usern jeweils um 1 erh√∂ht.

In [None]:
insert_stmt = """
INSERT INTO Users (Name, Password)
VALUES ('spam', 'swordfish')
"""

with sqlite3.connect('test.db') as conn:
    cursor = conn.cursor()
    cursor.execute(insert_stmt)
    print("User eingef√ºgt")

conn.close()

**Nebenbemerkung**: In unseren Beispielen speichern wir Passw√∂rter unverschl√ºsselt in Datenbanken ab, um nicht vom eigentlichen Thema abzulenken. Das ist allerdings hochgradig unsicher. In der Praxis w√ºrde man stattdessen ein sogenanntes "Hash" des Passworts speichern - eine kryptographische Verschl√ºsselung des Passworts, von der sich nicht auf das urspr√ºngliche Passwort schlie√üen l√§sst. Dank verschiedener Python-Bibliotheken ist diese Form des Passwortschutzes leicht umzusetzen, sprengt aber trotzdem den Rahmen dieses Kapitels. Ein kompaktes Tutorial zu diesem Thema findet sich hier: [https://www.geeksforgeeks.org/python/how-to-hash-passwords-in-python/](https://www.geeksforgeeks.org/python/how-to-hash-passwords-in-python/)

### üß™ Experiment: Posts mit und ohne Fremdschl√ºssel einf√ºgen

Eine Schw√§che von sqlite3 ist, dass *foreign key constraints* nicht wie in anderen Datenbanksystemen automatisch gepr√ºft werden. Wir m√ºssen dies stattdessen **bei jedem Verbindungsaufbau** explizit fordern, indem wir folgende Zeile hinzuf√ºgen:
```python
with sqlite3.connect("test.db") as conn:
    conn.execute("PRAGMA foreign_keys = 1")
```
Teste die Fremdschl√ºssel-Bedingung der `Posts`-Tabelle aus, indem du mit `INSERT` verschiedene Datens√§tze einf√ºgst. Was passiert, wenn du die UserID nicht nennst? Was, wenn es keinen Nutzer mit dieser ID gibt?

In [None]:
# Erg√§nze den folgenden INSERT-Befehl
insert_stmt = """
INSERT INTO ...

"""

with sqlite3.connect('test.db') as conn:
    conn.execute("PRAGMA foreign_keys = 1")
    cursor = conn.cursor()
    cursor.execute(insert_stmt)

conn.close()

### Mehrere Datens√§tze einf√ºgen

Um effizient **mehrere Datens√§tze / Zeilen** hintereinander einzuf√ºgen, kann die `executemany()`-Methode genutzt werden. Sie erh√§lt als erstes Argument einen SQL-Befehl, der als Platzhalter Fragezeichen `?` enth√§lt. Das zweite Argument sollte eine **Liste** sein, die wiederum Listen mit den Werten enth√§lt, die an die Stellen der Fragezeichen eingesetzt werden.

In [None]:
insert_stmt = """
INSERT INTO users (name, password)
VALUES (?, ?)
"""

rows = [
    ['hopfox', 'test'],
    ['oatfather', 'foobar']
]

with sqlite3.connect('test.db') as conn:
    cursor = conn.cursor()
    cursor.executemany(insert_stmt, rows)

conn.close()

## 17.4 Daten auslesen

Um die Daten aus einer Tabelle auszulesen, wird der SQL-Befehl `SELECT` genutzt:
```sql
SELECT *
FROM Tabellenname
```
Alternativ k√∂nnen nur einzelne Spalten ausgegeben werden:
```sql
SELECT Spaltennamen, getrennt durch Kommas
FROM Tabellenname
```

### √úber Zeilen iterieren

Nachdem mit `SELECT` auf die Tabelleninhalte zugegriffen wurde, muss das Ergebnis noch in Python verarbeitet werden. Die `fetchall()`-Methode erlaubt es, √ºber die abgerufenen Zeilen zu iterieren.

In [103]:
select_stmt = """
SELECT *
FROM Users
"""

with sqlite3.connect('test.db') as conn:
    cursor = conn.cursor()
    cursor.execute(select_stmt)
    for row in cursor.fetchall():
        print(row)

conn.close()

(1, 'spam', 'swordfish')
(2, 'hopfox', 'test')
(3, 'oatfather', 'foobar')


### üõ†Ô∏è √úbung: Nach bestimmtem Feld suchen

Modifiziere die `for`-Schleife so, dass nur das Passwort des Nutzers mit dem Namen "oatfather" ausgegeben wird.

In [None]:
select_stmt = """
SELECT *
FROM Users
"""

with sqlite3.connect('test.db') as conn:
    cursor = conn.cursor()
    cursor.execute(select_stmt)
    for row in cursor.fetchall():
        
        # HIER CODE ERG√ÑNZEN
        

conn.close()

### Bestimmte Datens√§tze abfragen

Eine komplette Tabelle aus einer Datenbank auszulesen und das Ergebnis mit Python-Code durchzugehen ist meist ineffizient und unn√∂tig kompliziert. SQL bietet als Alternative das kompakte `WHERE`-Konstrukt, um gezielt auf bestimmte Daten zuzugreifen.
```sql
SELECT Spaltenname FROM Tabellenname
WHERE Spaltenname=Wert
```
Neben `=` gibt es auch [andere Vergleichsoperatoren](https://www.w3schools.com/sql/sql_where.asp) und die M√∂glichkeit, Bedingungen mit `AND`, `OR` und `NOT` zu verkn√ºpfen.

Erwartet man durch eine solche Abfrage nur ein Ergebnis, l√§sst sich mit `fetchone()` direkt darauf zugreifen.

In [105]:
select_pw = """
SELECT Password FROM Users
WHERE Name='oatfather'
"""

with sqlite3.connect('test.db') as conn:
    cursor = conn.cursor()
    cursor.execute(select_pw)
    pw = cursor.fetchone()
    print(pw)

conn.close()

('foobar',)


### üêûBug Hunt: Login

Der folgende Code l√∂st zwar keine Fehlermeldung aus, besitzt aber eine fatale Schw√§che. Kannst du sie finden und verbessern? 

In [None]:
user_name = input("Was ist dein Nutzername? ")

select_user = """
SELECT Password FROM Users
WHERE Name=?
"""

with sqlite3.connect('test.db') as conn:
    cursor = conn.cursor()
    cursor.execute(select_user, [user_name])
    user_pw = cursor.fetchone()
    
if user_pw:
    pw = input("Wie lautet dein Passwort? ")

    if pw == user_pw:
        print("Login erfolgreich")
    else:
        print("Falsches Passwort")

else:
    print("User nicht gefunden")

## 17.5 SQL Injections

Informationen in einer Datenbank (oder sonst irgendwo) zu speichern birgt das inh√§rente Risiko, dass diese Daten gestohlen oder manipuliert werden. Ein besonders einfacher Angriff auf Datenbanken ist die sogenannte *SQL Injection*, bei der b√∂sartige SQL-Befehle als Teil einer Nutzereingabe an die Datenbank geschickt werden.

### üß™ Experiment: SQL Injection ausf√ºhren

Das folgende Programm soll eigentlich Nutzern helfen, die ihr Passwort vergessen haben, ist aber anf√§llig f√ºr eine SQL Injection. Probiere zun√§chst, das Programm mit einem normalen Nutzernamen zu verwenden. Probiere dann folgenden String aus: 
```
' OR 1=1;--
```
Was passiert? Woran liegt das? Wie k√∂nnte dieser Angriff vermieden werden?

In [None]:
print("Beginne Passwortwiederherstellung...")
user_name = input("Was ist dein Nutzername? ")

select_user = f"""
SELECT password FROM users
WHERE name='{user_name}'
"""

with sqlite3.connect('test.db') as conn:
    cursor = conn.cursor()
    cursor.execute(select_user)
    user_pw = cursor.fetchall()
    if len(user_pw) == 0:
        print("Nutzername nicht gefunden. Passwortwiederherstellung wird beendet...")
    else:
        print("Dein Passwort lautet:")
        print(user_pw)

### SQL Injections vermeiden

Der beste Weg, um SQL Injections zu vermeiden, ist die Verwendung von parametrisierten Abfragen mit `?`. Bei deren Ausf√ºhrung mit `execute()` oder `executemany()` werden die einzuf√ºgenden Werte automatisch in den richtigen Datentyp umgewandelt, ohne dass eingeschl√§u√üte SQL-Befehle ausgef√ºhrt werden.

Entsprechend verbessert w√ºrde das vorherige Beispiel so aussehen:

In [None]:
print("Beginne Passwortwiederherstellung...")
user_name = input("Was ist dein Nutzername? ")

# Bei input ' OR TRUE;-- werden alle Passw√∂rter ausgegeben
select_user = f"""
SELECT password FROM users
WHERE name=?
"""

with sqlite3.connect('test.db') as conn:
    cursor = conn.cursor()
    cursor.execute(select_user, [user_name])
    user_pw = cursor.fetchall()
    if len(user_pw) == 0:
        print("Nutzername nicht gefunden. Passwortwiederherstellung wird beendet...")
    else:
        print("Dein Passwort lautet:")
        print(user_pw)

## 17.6 Datens√§tze ver√§ndern und l√∂schen

Das **Ver√§ndern** und **L√∂schen** von Daten √§hnelt dem Auslesen: Es nutzt ebenfalls `WHERE`-Bedingungen, um bestimmte Daten anzusprechen, kann aber auch ohne `WHERE` genutzt werden, um **alle** Tabelleneintr√§ge zu √§ndern oder l√∂schen.

### Tabelleneintr√§ge ver√§ndern

Der `UPDATE`-Befehl setzt existierende Tabelleneintr√§ge auf einen neuen Wert.
```sql
UPDATE Tabellenname
SET Spaltenname=NeuerWert
WHERE Bedingung
```

Der folgende Code ver√§ndert den Namen des Nutzers mit der ID 1:

In [106]:
update_stmt = """
    UPDATE Users
    SET Name=?
    WHERE UserID=?
"""

with sqlite3.connect('test.db') as conn:
    cursor = conn.cursor()
    cursor.execute(update_stmt, ['kartoffel', 1])

conn.close()

### üõ†Ô∏è √úbung: Funktion zur Passwort√§nderung

Schreibe eine Funktion `update_pw`, die als Parameter die Strings `user_name` und `new_pw` entgegennimmt. Die Funktion stellt eine Datenbankverbindung her und setzt das Passwort des Users (erster Parameter) auf das neue Passwort (zweiter Parameter).

In [None]:
# Platz f√ºr die √úbung



### Tabelleneintr√§ge l√∂schen

Der `DELETE`-Befehl l√∂scht existierende Zeilen einer Tabelle:
```sql
DELETE FROM Tabellenname
WHERE Bedingung
```

Die folgende Funktion l√∂scht eine Zeile der Users-Tabelle, wenn der gegebene Name darin gefunden wird und keine Abh√§ngigkeiten zu anderen Tabellen bestehen.

In [None]:
def delete_user(user_name):
    delete_stmt = """
        DELETE FROM users
        WHERE name=?
    """

    with sqlite3.connect('test.db') as conn:
        conn.execute("PRAGMA foreign_keys = 1")
        cursor = conn.cursor()
        cursor.execute(delete_stmt, [user_name])
        
    conn.close()

delete_user('oatfather')

## 17.7 Tabellen verkn√ºpfen

Die **Relationen** in relationalen Datenbanken k√∂nnen genutzt werden, um in einer Abfrage mehrere Tabellen zu verkn√ºpfen. Der `INNER JOIN`-Befehl liefert die **Schnittmenge** zweier Tabellen anhand gemeinsamer Spalten:
```sql
SELECT * FROM Tabelle1
INNER JOIN Tabelle2 ON Tabelle1.GemeinsameSpalte=Tabelle2.GemeinsameSpalte
```

Der folgende Befehl findet alle Posts des Nutzers "kartoffel":

In [None]:
stmt = """
    SELECT Posts.Content FROM Posts
    INNER JOIN Users ON Posts.UserID=Users.UserID
    WHERE Users.name='kartoffel'
"""

with sqlite3.connect("test.db") as conn:
    cursor = conn.cursor()
    cursor.execute(stmt)
    for row in cursor.fetchall():
        print(row[0])
    
conn.close()

### üõ†Ô∏è √úbung: User √ºber Posts finden

Nutze einen SQL-Befehl mit `INNER JOIN`, um den User zu finden, der den ersten Post (PostID=1) erstellt hat.

In [None]:
# Platz f√ºr die √úbung

