# SQLAlchemyを利用してPythonからデータベースを操作する

Webでは、プログラミング言語からDBを操作する場合、オブジェクトリレーショナルマッパー(ORM)というライブラリを利用します。  
Pythonでは [SQLAlchemy](https://www.sqlalchemy.org/) というORMがよく利用されます。

ORMとはオブジェクト指向言語におけるオブジェクトとリレーショナルデータベースのレコードを対応付けるライブラリで、SQLインジェクションを防止や、プログラムからデータベースが扱いやすくなるといった利点があります。

例えば、Pythonでは下記のようにSQLを文字列として定義して実行することも可能です。

```python
from sqlalchemy import create_engine, text

engine = create_engine(f'mysql+pymysql://addmin:password@10.20.0.5/app?charset=utf8mb4')


def print_user(user_id):
  conn = engine.connect()
  result = conn.execute(text(f"SELECT * FROM users WHERE id = {user_id};"))
  print(result.all())
  conn.close()

```

一見、この関数は引数で受け取った id と一致するユーザーを取得するように見えます。  
しかし、`user_id` 引数に `"1 OR 1 = 1"` が入力されたらどうでしょう。

```sql
-- このSQLはすべてのユーザーを出力してしまいます。
SELECT * FROM users WHERE id = 1 OR 1 = 1;
```

このように、SQLを直接利用すると常にセキュリティ上の問題を考慮しながら実装することになります。  
加えて、このバグは静的解析や単体テストでは検知することができません。 アプリケーションが巨大になると発見は容易ではありません。

このような理由から、プログラムからDBへのアクセスは特別な理由がない限りORMを利用することが推奨されます。  
とはいえ、ORMを利用する場合でも裏側で実行されているSQLを意識することは非常に重要です。SQLを意識しないで書かれたコードは非効率になりがちです。

ちなみに `print_user` をORMで実装すると下記のようになります。

```python
from sqlalchemy import create_engine, text
from sqlalchemy.orm import sessionmaker

engine = create_engine(f'mysql+pymysql://addmin:password@10.20.0.5/app?charset=utf8mb4')
sessionLocal = sessionmaker(autocommit=False, autoflush=True, bind=engine)


def print_user(user_id):
  session SessionLocal()
  user = session.query(User).filter(User.id == user_id).first()
  print(user)
  session.close()
```


# モデルの定義

モデルとはRDBのレコードを紐づけるクラスで、このクラスのインスタンスをレコードとして扱います。  
また、モデルはテーブル定義としても扱われます。下記のテーブルを構成をモデルとして実装してみましょう。

<img src="tables.png" width="500px">

In [1]:
import enum
from datetime import datetime
from sqlalchemy import Boolean, Column, Integer, String, UniqueConstraint, text
from sqlalchemy.orm import relationship
from sqlalchemy.sql.sqltypes import DateTime, Enum
from sqlalchemy.sql.schema import ForeignKey
from sqlalchemy.dialects.mysql import MEDIUMTEXT

# モデルのベースクラスを定義
from sqlalchemy.orm.decl_api import declarative_base
Base = declarative_base()

class User(Base):
    """usersテーブル
    モデル定義: https://docs.sqlalchemy.org/en/14/tutorial/metadata.html#defining-table-metadata-with-the-orm
    """
    __tablename__ = "users"  # テーブル名
    __table_args__ = {'mysql_engine':'InnoDB', 'mysql_charset':'utf8mb4','mysql_collate':'utf8mb4_bin'}
    
    # カラム定義
    id = Column(Integer, primary_key=True, index=True)
    # collation(照合順序): https://dev.mysql.com/doc/refman/8.0/ja/charset-mysql.html
    username = Column(String(255, collation="utf8mb4_bin"), unique=True, index=True, nullable=False)
    hashed_password = Column(String(255), nullable=False)
    created = Column(DateTime, default=datetime.now, nullable=False)
    updated = Column(DateTime, default=datetime.now, onupdate=datetime.now, nullable=False)

    # itemsテーブルとの一対多のリレーション
    #   https://docs.sqlalchemy.org/en/14/orm/basic_relationships.html#one-to-many
    items = relationship(
        "Item",           # リレーションモデル名
        back_populates="user",      # リレーション先の変数名
        # カスケード: https://docs.sqlalchemy.org/en/14/orm/cascades.html
        #   "all, delete-orphan": userを削除したときに、関連する items を削除する
        #   "save-update": userを削除したときに、関連する items のuser_idをNullにする (default)
        cascade="all, delete-orphan",
    )

    # リレーション (many to many)
    #   多対多のリレーション: https://docs.sqlalchemy.org/en/14/orm/basic_relationships.html#many-to-many
    roles = relationship("Role", secondary="user_roles", back_populates="users")

    # printした時に出力する値を定義
    def __repr__(self):
        return f"<User(id={self.id}, username={self.username},items={self.items}, roles={self.roles})>"


class Item(Base):
    """items テーブルの定義
    """
    __tablename__ = "items"
    __table_args__ = {'mysql_engine':'InnoDB', 'mysql_charset':'utf8mb4','mysql_collate':'utf8mb4_bin'}
    
    id = Column(Integer, primary_key=True)
    user_id = Column(Integer, ForeignKey("users.id"), nullable=False)
    title = Column(String(255), nullable=False)
    content = Column(MEDIUMTEXT)
    created = Column(DateTime, default=datetime.now, nullable=False)
    updated = Column(DateTime, default=datetime.now, onupdate=datetime.now, nullable=False)

    #  usersテーブルとのリレーション
    user = relationship("User", back_populates="items")

    def __repr__(self):
        return f"""<Items(id={self.id}, user_id={self.user_id}, title={self.title}, content={self.content})>"""

class UserRole(Base):
    """users と roles の中間テーブル"""
    __tablename__ = "user_roles"
    __table_args__ = (
        UniqueConstraint("user_id", "role_id", name="unique_idx_userid_roleid"),  # user_idとrole_idを複合ユニークキーに設定する
        {'mysql_engine':'InnoDB', 'mysql_charset':'utf8mb4','mysql_collate':'utf8mb4_bin'}
    )

    id = Column(Integer, primary_key=True, index=True, nullable=False)
    user_id = Column(Integer, ForeignKey("users.id"), nullable=False)
    role_id = Column(Integer, ForeignKey("roles.id"), nullable=False)
    created = Column(DateTime, default=datetime.now, nullable=False)
    updated = Column(DateTime, default=datetime.now, onupdate=datetime.now, nullable=False)

class RoleType(str, enum.Enum):
    SYSTEM_ADMIN      = "SYSTEM_ADMIN"
    LOCATION_ADMIN    = "LOCATION_ADMIN"
    LOCATION_OPERATOR = "LOCATION_OPERATOR"

class Role(Base):
    """roles テーブルの定義
    """
    __tablename__ = "roles"
    __table_args__ = {'mysql_engine':'InnoDB', 'mysql_charset':'utf8mb4','mysql_collate':'utf8mb4_bin'}

    id = Column(Integer, primary_key=True, index=True)
    name = Column(Enum(RoleType), unique=True, index=True, nullable=False)  # ロール名
    created = Column(DateTime, default=datetime.now, nullable=False)
    updated = Column(DateTime, default=datetime.now, onupdate=datetime.now, nullable=False)

    # リレーション (many to many)
    users = relationship("User", secondary="user_roles", back_populates="roles")

    def __repr__(self):
        return f"""<Roles(id={self.id}, name={self.name})>"""

# データベースとのセッションを作成するための準備

データベースにはコネクションとセッションという概念が存在します。

- コネクション  
DBクライアントとDBサーバーが通信するための物理的な通信路で、クライアント-サーバー間にネットワーク経由で確立されます。  
コネクションは複数のセッションを持つことができます。
- セッション  
セッションとはユーザーがデータベースに接続してから切断するまでの期間を指します。  
セッションは通信路(コネクション)を通じて行われるユーザーのログインからログアウトまでの一連の操作と状態を保持します。  
セッションは複数のトランザクションを含むことができます。  

Webアプリでは、基本的にリクエストごとにセッションの開始・終了を行います。  
つまり、 `リクエストの寿命 == セッション` の寿命となります。  

## コネクションの管理

SQLAlchemyでデータベースに接続するには、`engine` というオブジェクトが必要になります。  
`engine` オブジェクトはコネクションを管理するコネクションプールとして働きます。  

[SQLAlchemy | Establishing Connectivity - the Engine](https://docs.sqlalchemy.org/en/14/tutorial/engine.html)

## セッションの管理

セッションを作成するには `sessionmaker` を利用してセッションファクトリー (セッションを作成するオブジェクト)を作成します。  
セッションはこのセッションファクトリーから作成します。  

[SQLAlchemy | SessionBasic - Using a sessionmaker](https://docs.sqlalchemy.org/en/14/orm/session_basics.html#using-a-sessionmaker)

In [2]:
import os
from sqlalchemy import create_engine
from sqlalchemy.orm import sessionmaker

DB_USER = os.getenv("DB_USER")
DB_PASSWORD = os.getenv("DB_PASSWORD")
DB_HOST = os.getenv("DB_HOST")
DB_PORT = os.getenv("DB_PORT")
DB_NAME = "chapter2_5"

DB_URL = f'mysql+pymysql://{DB_USER}:{DB_PASSWORD}@{DB_HOST}:{DB_PORT}/{DB_NAME}?charset=utf8mb4'
print(DB_URL)

# エンジンの作成
engine = create_engine(DB_URL)

# セッションファクトリーを作成
SessionLocal = sessionmaker(autocommit=False, autoflush=True, bind=engine)

mysql+pymysql://root:root1234@10.29.10.100:63306/chapter2_5?charset=utf8mb4


セッションファクトリーからセッションを作成して、クエリを実行してみましょう。

In [3]:
# セッションファクトリーからセッションを作成 (ログイン)
session = SessionLocal()
print(session.execute(text("SELECT 'OK'")).first())
# セッションをクローズ (ログアウト)
session.close()

('OK',)


# テーブルの作成
https://docs.sqlalchemy.org/en/14/core/metadata.html?highlight=create%20table#sqlalchemy.schema.MetaData.create_all

In [4]:
Base.metadata.create_all(engine)

# データの挿入

## `users` `roles` テーブルへのレコード追加

一般的なレコードの登録方法を見てみましょう。  
ORMはレコードをモデルのインスタンスで表現します。(つまり、先ほど定義した `User` `Item` といったクラスのインスタンスがレコードとなります。)
レコードをDBにINSERTするには、モデルのインスタンスをセッションオブジェクトで `add()` し `commit()` します。

In [5]:
# usersテーブルへ追加するレコード
# 追加するデータはモデルのインスタンスとして定義します
users = [
    User(username = "yamada", hashed_password = "xxxxx"),
    User(username = "sato", hashed_password = "xxxxx"),
    User(username = "suzuki", hashed_password = "xxxxx"),
]

# rolesテーブルへ追加するレコード
roles = [
    Role(name="SYSTEM_ADMIN"),
    Role(name="LOCATION_ADMIN"),
    Role(name="LOCATION_OPERATOR"),
]

# セッションを利用してUserオブジェクトをDBにINSERTする
with SessionLocal() as session:
    try:
        for user in users:
            session.add(user)
        for role in roles:
             session.add(role)
        session.commit()
    except Exception as e:
        session.rollback()
        raise e
# withを使わないでsessionをクローズしたいときは
# session.close()

In [6]:
# 登録したデータを確認してみましょう。
with SessionLocal() as session:
    print(session.query(User).all())
    print(session.query(Role).all())

[<User(id=1, username=yamada,items=[], roles=[])>, <User(id=2, username=sato,items=[], roles=[])>, <User(id=3, username=suzuki,items=[], roles=[])>]
[<Roles(id=1, name=RoleType.SYSTEM_ADMIN)>, <Roles(id=2, name=RoleType.LOCATION_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>]


## `users` と一対多のリレーションを持つ `items` へのレコード追加 

`users` テーブルと一対多のリレーションを設定した `items` テーブルへのレコードの登録方法を確認しましょう。  

1つ目は単純に `user_id` カラムにユーザーIDを設定して登録する方法です。 

In [7]:
# itemsテーブルへの追加
with SessionLocal() as session:
    try:
        # yamada にアイテムを追加
        yamada = session.query(User).filter(User.id == 1).first()
        item = Item(title="a", content="foo", user_id=yamada.id)
        session.add(item)
        session.commit()
        session.refresh(yamada) # レコードのデータを最新の状態に更新
        print(yamada.items)  # yamadaユーザーにitemが追加できたか確認
    except Exception as e:
        session.rollback()
        raise e

[<Items(id=1, user_id=1, title=a, content=foo)>]


2つ目はもっとオブジェクト指向らしい直感的な方法で、UserインスタンスのitemsプロパティにItemインスタンスを追加する方法です。   
※ 特に理由がない限りこちらの方法を利用するのが一般的です。

In [8]:
# itemsテーブルへの追加
with SessionLocal() as session:
    try:
        # sato にアイテムを追加
        sato = session.query(User).filter(User.id == 2).first()
        item = Item(title="c", content="baz")
        sato.items.append(item)
        session.add(sato)
        session.commit()
        session.refresh(sato) # レコードのデータを最新の状態に更新
        print(sato.items)  # satoユーザーにitemが追加できたか確認
    except Exception as e:
        session.rollback()
        raise e

[<Items(id=2, user_id=2, title=c, content=baz)>]


In [9]:
# 登録したデータを確認してみましょう。
with SessionLocal() as session:
    print(session.query(User).all())

[<User(id=1, username=yamada,items=[<Items(id=1, user_id=1, title=a, content=foo)>], roles=[])>, <User(id=2, username=sato,items=[<Items(id=2, user_id=2, title=c, content=baz)>], roles=[])>, <User(id=3, username=suzuki,items=[], roles=[])>]


In [10]:
# ユーザーに紐づくアイテムを取得してみます
with SessionLocal() as session:
    yamada = session.query(User).filter(User.id == 1).first()
    print(yamada.items)

[<Items(id=1, user_id=1, title=a, content=foo)>]


In [11]:
# 逆にアイテムに紐づくユーザーを取得することもできます
with SessionLocal() as session:
    item = session.query(Item).filter(Item.id == 1).first()
    print(item.user)

<User(id=1, username=yamada,items=[<Items(id=1, user_id=1, title=a, content=foo)>], roles=[])>


## `users` と多対多のリレーションを持つ `roles` を紐づける方法

`users` テーブルと `roles` テーブルには多対多のリレーションが設定されています。これらのテーブルのアイテムを関連付ける方法を確認しましょう。  

`users` と `roles` の間には `user_roles` という中間テーブルが存在していますが、SQLAlchemyで操作するときに中間テーブルを意識する必要はありません。  
一対多の時と同様に、 Userインスタンス の `roles` プロパティに Roleインスタンスを追加するだけで、関連付けを行うことができます。


In [12]:
with SessionLocal() as session:
    try:
        # 更新対象のユーザーの取得
        yamada = session.query(User).filter(User.username == "yamada").first()
        sato = session.query(User).filter(User.username == "sato").first()

        # ロールの取得
        sys_admin = session.query(Role).filter(Role.name == RoleType.SYSTEM_ADMIN).first()
        loc_admin = session.query(Role).filter(Role.name == RoleType.LOCATION_ADMIN).first()
        loc_opr = session.query(Role).filter(Role.name == RoleType.LOCATION_OPERATOR).first()
        
        # 1. Roleインスタンスの配列を代入
        yamada.roles = [sys_admin, loc_opr]
        session.add(yamada)
        
        # 2. appendメソッドでRoleインスタンスを追加してもよい
        sato.roles.append(loc_admin)
        sato.roles.append(loc_opr)
        session.add(sato)

        # コミット
        session.commit()

        # ユーザーインスタンスをコミット後の状態に更新
        session.refresh(yamada)
        session.refresh(sato)

        # 出力
        print(yamada)
        print(sato)
    except Exception as e:
        session.rollback()
        raise e

<User(id=1, username=yamada,items=[<Items(id=1, user_id=1, title=a, content=foo)>], roles=[<Roles(id=1, name=RoleType.SYSTEM_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>])>
<User(id=2, username=sato,items=[<Items(id=2, user_id=2, title=c, content=baz)>], roles=[<Roles(id=2, name=RoleType.LOCATION_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>])>


In [13]:
# ユーザーに紐づくロールを取得してみます
with SessionLocal() as session:
    yamada = session.query(User).filter(User.id == 1).first()
    print(yamada.roles)

[<Roles(id=1, name=RoleType.SYSTEM_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>]


In [14]:
# 逆にロールに紐づくユーザーを取得することもできます
with SessionLocal() as session:
    role = session.query(Role).filter(Role.id == 3).first()
    print(role.users)

[<User(id=1, username=yamada,items=[<Items(id=1, user_id=1, title=a, content=foo)>], roles=[<Roles(id=1, name=RoleType.SYSTEM_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>])>, <User(id=2, username=sato,items=[<Items(id=2, user_id=2, title=c, content=baz)>], roles=[<Roles(id=2, name=RoleType.LOCATION_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>])>]


# データの更新

既に登録されているレコードの値を更新する方法を確認しましょう。

In [15]:
with SessionLocal() as session:
    try:
        # sato を midorikawa に変更
        user2 = session.query(User).filter(User.id == 2).first()
        user2.username = "midorikawa"
        session.add(user2)
        session.commit()
    except Exception as e:
        session.rollback()
        raise e

In [16]:
# 更新したデータを確認
with SessionLocal() as session:
    print(session.query(User).filter(User.username == "midorikawa").first())

<User(id=2, username=midorikawa,items=[<Items(id=2, user_id=2, title=c, content=baz)>], roles=[<Roles(id=2, name=RoleType.LOCATION_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>])>


# データの取得

テーブルのデータをSELECTする方法を確認しましょう。

SELECT には `session.query(MODEL_CLASS)` を利用します。  
メソッドチェインで `offset` `limit` `filter` など、SELECT の条件となるメソッドを追加し、最後に `all()` や `first()` といった終端メソッドを呼び出すことでSELECTが実行されます。

In [17]:
with SessionLocal() as session:
    try:
        # すべてのユーザーを取得
        users = session.query(User).all()
        print(users)
        
        # 1 ~ 2番目までのユーザーを取得
        users = session.query(User).offset(0).limit(2).all()
        print(users)
        
        # id = 2 のユーザーを取得
        user2 = session.query(User).filter(User.id == 2).first()
        print(user2)
        
        # id = 2 のユーザーに紐づくアイテムを取得
        print(user2.items)

        # id = 1 のアイテムに紐づくユーザーを取得
        item = session.query(Item).filter(Item.id == 1).first()
        print(item.user)

        # id = 2 のユーザーに紐づくロールを取得
        print(user2.roles)

        # id = 3 のロールに紐づくユーザーを取得
        role = session.query(Role).filter(Role.id == 3).first()
        print(role.users)
    except Exception as e:
        session.rollback()
        raise e

[<User(id=1, username=yamada,items=[<Items(id=1, user_id=1, title=a, content=foo)>], roles=[<Roles(id=1, name=RoleType.SYSTEM_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>])>, <User(id=2, username=midorikawa,items=[<Items(id=2, user_id=2, title=c, content=baz)>], roles=[<Roles(id=2, name=RoleType.LOCATION_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>])>, <User(id=3, username=suzuki,items=[], roles=[])>]
[<User(id=1, username=yamada,items=[<Items(id=1, user_id=1, title=a, content=foo)>], roles=[<Roles(id=1, name=RoleType.SYSTEM_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>])>, <User(id=2, username=midorikawa,items=[<Items(id=2, user_id=2, title=c, content=baz)>], roles=[<Roles(id=2, name=RoleType.LOCATION_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>])>]
<User(id=2, username=midorikawa,items=[<Items(id=2, user_id=2, title=c, content=baz)>], roles=[<Roles(id=2, name=RoleType.LOCATION_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>])>
[<Item

# データの削除

レコードを削除する方法を確認しましょう。

削除はモデルインスタンスを引数にとって `session.delete()` を実行するだけです。

In [18]:
with SessionLocal() as session:
    try:  
        # id = 1 のユーザーを削除
        user1 = session.query(User).filter(User.id == 1).first()
        session.delete(user1)
        session.commit()
    except Exception as e:
        session.rollback()
        raise e

In [19]:
with SessionLocal() as session:
    # usersテーブルから id = 1 のレコードが削除される
    print(session.query(User).all())

    # id = 1 のユーザーに紐づくアイテムも削除される
    print(session.query(Item).all())

[<User(id=2, username=midorikawa,items=[<Items(id=2, user_id=2, title=c, content=baz)>], roles=[<Roles(id=2, name=RoleType.LOCATION_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>])>, <User(id=3, username=suzuki,items=[], roles=[])>]
[<Items(id=2, user_id=2, title=c, content=baz)>]


In [20]:
with SessionLocal() as session:
    try:  
        # id = 2 のユーザーに紐づくアイテムを削除する
        user2 = session.query(User).filter(User.id == 2).first()
        for item in user2.items:
            session.delete(item)
            session.commit()
    except Exception as e:
        session.rollback()
        raise e

In [21]:
with SessionLocal() as session:
    # id = 2 のユーザーに紐づくアイテムが削除される
    print(session.query(Item).all())

    # id = 2 のユーザーは削除されない
    print(session.query(User).all())

[]
[<User(id=2, username=midorikawa,items=[], roles=[<Roles(id=2, name=RoleType.LOCATION_ADMIN)>, <Roles(id=3, name=RoleType.LOCATION_OPERATOR)>])>, <User(id=3, username=suzuki,items=[], roles=[])>]


# テーブルの削除
https://docs.sqlalchemy.org/en/14/core/metadata.html?highlight=create%20table#sqlalchemy.schema.MetaData.drop_all

In [22]:
Base.metadata.drop_all(engine)