In [2]:
import sqlite3

## File or Memory

In [6]:
# in questo caso NON creiamo un file database ma lo storiamo in MEMORIA
# ottimo per testare il codice, poi sostituisco con un file che verrà creato
conn = sqlite3.connect(":memory:")
c = conn.cursor()

In [7]:
class Impiegato:
    def __init__(self, nome, cognome, pay):
        self.nome = nome 
        self.cognome = cognome
        self.pay = pay

In [8]:
uno = Impiegato("andrea", "prestini", 5000)
due = Impiegato("eleonora", "favagrossa", 10000)
tre = Impiegato("roberto", "tanzini", 12000)
quattro = Impiegato("federica", "braccagnini", 2000)
cinque = Impiegato("aldo", "tanzini", 50000)


In [9]:
c.execute("""CREATE TABLE IF NOT EXISTS impiegati (
    nome text,
    cognome text,
    pay integer
    )""")

<sqlite3.Cursor at 0x7f0cec20b0a0>

In [10]:
def insert_imp(imp):
    with conn:
        c.execute("INSERT INTO impiegati VALUES (?,?,?)", (imp.nome, imp.cognome, imp.pay))


def get_imp_by_cognome(cognome):
    c.execute("SELECT * FROM impiegati WHERE cognome=cognome")
    return c.fetchall()

def update_pay(imp, pay):
    with conn:
        c.execute("""UPDATE impiegati SET pay = :pay WHERE
         nome = :nome AND cognome = :cognome""", 
         {'nome': imp.nome, 'cognome': imp.cognome, 'pay': imp.pay})


In [11]:
insert_imp(uno)
insert_imp(due)
insert_imp(tre)
insert_imp(quattro)
insert_imp(cinque)

In [12]:
c.execute("SELECT * FROM impiegati")
c.fetchall()

[('andrea', 'prestini', 5000),
 ('eleonora', 'favagrossa', 10000),
 ('roberto', 'tanzini', 12000),
 ('federica', 'braccagnini', 2000),
 ('aldo', 'tanzini', 50000)]

In [13]:
update_pay(uno, 99999)
conn.commit()

In [14]:
c.execute("SELECT * FROM impiegati")
c.fetchall()

[('andrea', 'prestini', 5000),
 ('eleonora', 'favagrossa', 10000),
 ('roberto', 'tanzini', 12000),
 ('federica', 'braccagnini', 2000),
 ('aldo', 'tanzini', 50000)]

## **Primo metodo**
```python
c.execute("INSERT INTO impiegati VALUES ('{}', '{}', '{}')".format(uno.nome, uno.cognome, uno.pay))
```
Pericoloso per SQL injection

## **Secondo metodo**
```python
c.execute("INSERT INTO impiegati VALUES (?,?,?)", (uno.nome, uno.cognome, uno.pay))
```
NON permette SQL injection

## **Terzo metodo - best**
```python
c.execute("INSERT INTO impiegati VALUES (:nome, :cognome, :pay)", 
        {'nome': uno.nome,
        'cognome': uno.cognome,
        'pay': uno.pay
        })
```

## Selezione

In [12]:
c.execute("SELECT * FROM impiegati WHERE cognome='tanzini'")
c.fetchone()

('roberto', 'tanzini', 18000)

In [9]:
c.execute("SELECT * FROM impiegati")
c.fetchmany(2)

[('andrea', 'prestini', 5000), ('eleonora', 'favagrossa', 8000)]

In [17]:
conn.commit()
conn.close()