# Formato de cadenas de texto (String)

Existen cuatro formas principales de dar formato a las cadenas en Python.

Vamos a ver cómo funcionan estos cuatro métodos de formateo de cadenas y cuáles son sus respectivos puntos fuertes y débiles. 

## 1.- Formateo a la "antigua usanza"

In [1]:
nombre = "Carlos"

In [2]:
"Hola, mi nombre es %s" % nombre

'Hola, mi nombre es Carlos'

También podemos hacer que un número entero se imprima en formato hexadecimal:

In [3]:
numero = 1000

"El número %s en formato hexadecimal es: 0x%x" % (numero, numero)

'El número 1000 en formato hexadecimal es: 0x3e8'

También se pueden usar diccionarios:

In [4]:
"El número de %(nombre)s es: %(numero)i" % {"nombre": nombre, "numero": numero}

'El número de Carlos es: 1000'

### Ventajas:

Esto hace que sus cadenas de formato sean más fáciles de mantener y de modificar en el futuro. No tienes que preocuparte de asegurar que el orden en el que pasa los valores coincide con el orden en el que se hace referencia a los valores en la cadena de formato. 

### Desventajas:

La desventaja es que esta técnica requiere un poco más de escritura.

## 2.- Formateo usando el "nuevo estilo"

Python 3 introdujo una nueva forma de formatear las cadenas de texto, que más tarde se trasladó a Python 2.7. 

Este "nuevo estilo" de formateo de cadenas se deshace de la sintaxis especial del operador % y hace que la sintaxis para el formateo de cadenas sea más regular. El formato se maneja ahora llamando a una función format() sobre un objeto de cadena.

Se puede utilizar la función format() para realizar un formato posicional simple, al igual que se podía hacer con el formato a la "antigua ausanza":

In [5]:
"Hola, {}".format(nombre)

'Hola, Carlos'

In [6]:
'Hola {nombre}, tu número en hexadecimal es: 0x{numero:x}'.format(nombre=nombre, numero=numero)

'Hola Carlos, tu número en hexadecimal es: 0x3e8'

Esto también muestra que la sintaxis para formatear una variable int como una cadena hexadecimal ha cambiado. Ahora tenemos que pasar una especificación de formato añadiendo un sufijo ":x" después del nombre de la variable.

En Python 3, este "nuevo estilo" de formateo de cadenas es preferible al estilo %.

Sin embargo, a partir de Python 3.6 hay una forma aún mejor de formatear tus cadenas.

## 3.- Interpolación de cadenas

Python 3.6 añade otra forma de formatear cadenas, llamada Literales de Cadena Formateados. Esta nueva forma de formatear cadenas permite utilizar expresiones Python embebidas dentro de constantes de cadena. 

He aquí un ejemplo sencillo para que te hagas una idea de esta función:

In [7]:
f'Hola, {nombre}!'

'Hola, Carlos!'

In [8]:
a = 5
b = 10

f'{a} mas {b} es {a + b} y no {2 * (a + b)}.'

'5 mas 10 es 15 y no 30.'

Los literales de cadena formateados son una función del analizador de Python que convierte las cadenas f en una serie de constantes y expresiones de cadena. Luego se unen para construir la cadena final.

Esto:

In [9]:
def greet(name, question):
    return f"Hello, {name}! How's it {question}?"

Realmente hace esto:

In [10]:
def greet(name, question):
    return ("Hello, " + name + "! How's it " + question + "?")

La implementación real es ligeramente más rápida porque utiliza el opcode BUILD_STRING como optimización, pero funcionalmente son lo mismo.

Los literales de cadena también admiten la sintaxis de cadena de formato existente del método str.format(). 

Esto le permite resolver los mismos problemas de formato que hemos discutido en las dos secciones anteriores:

In [11]:
f'Hola {nombre}, tu número en hexadecimal es: 0x{numero:#x}'

'Hola Carlos, tu número en hexadecimal es: 0x0x3e8'

## 4.- Cadenas de plantilla (Template Strings)

Una técnica más para el formateo de cadenas en Python es Template Strings. Es un mecanismo más sencillo y menos potente, pero en algunos casos puede ser exactamente lo que buscas.

In [12]:
from string import Template

t = Template('Hola, $nombre!')
t.substitute(nombre=nombre)

'Hola, Carlos!'

Aquí puedes ver que necesitamos importar la clase Template del módulo de cadenas incorporado en Python. Las plantillas de cadenas no son una característica central del lenguaje, sino que son suministradas por un módulo de la biblioteca estándar.

Otra diferencia es que las cadenas de plantilla no permiten especificaciones de formato. Así que para que nuestro ejemplo de cadena con número hexadecimal funcione, tenemos que transformar nuestro número en una cadena hexadecimal nosotros mismos:

In [13]:
templ_string = 'Hey $nombre, este es tu número hexadecimal: $numero'

Template(templ_string).substitute(nombre=nombre, numero=hex(numero))

'Hey Carlos, este es tu número hexadecimal: 0x3e8'

### Ventajas

El mejor caso de uso de las cadenas de plantilla es cuando manejas cadenas de formato generadas por los usuarios de tu programa. Debido a su reducida complejidad, las cadenas de plantilla son una opción más segura.

Los formateos más complejos de otras técnicas de formateo de cadenas pueden introducir vulnerabilidades de seguridad en sus programas. Por ejemplo, es posible que las cadenas de formato accedan a variables arbitrarias en su programa.

Esto significa que si un usuario malintencionado puede suministrar una cadena de formato, también puede filtrar potencialmente claves secretas y otra información sensible. He aquí una simple prueba de concepto de cómo podría utilizarse este ataque.

In [14]:
SECRET = 'this-is-a-secret'

class Error:
    def __init__(self):
        pass

err = Error()

user_input = '{error.__init__.__globals__[SECRET]}'

user_input.format(error=err)

'this-is-a-secret'

¿Ves cómo el hipotético atacante pudo extraer nuestra cadena secreta accediendo al diccionario \__globals\__ de la cadena de formato?

In [15]:
user_input = '${error.__init__.__globals__[SECRET]}'

Template(user_input).substitute(error=err)

ValueError: Invalid placeholder in string: line 1, col 1

Esto no funcionaría con Template Strings.

## Claves: ¿Qué método de formateo debo usar?

La regla de oro para el formateo de cadenas es la siguiente:

* **Si tus cadenas de formato son suministradas por el usuario:** Cadenas de Plantilla para evitar problemas de seguridad. 

* **Si tus cadenas de formato no son suministradas por el usuario y usas Pyhton 3.6 o superior:** Interpolación de cadenas.

* **Si tus cadenas de formato no son suministradas por el usuario y usas una versión inferior a Pyhton 3.6:** Formateo de "nuevo estilo".