## DAT 2000 Øving 8. Januar 2024 - Litt bakgrunn

I denne øvingen går vi gjennom litt kode for å:

1. Installere og konfigurere det vi trenger av Git, Python, Python-IDE (Pycharm Community), Docker
2. Starte opp PostgreSQL med Docker
3. Koble til og initialisere en ny database i PostgreSQL
4. Opprette noen tabeller og sette inn litt data.
5. Lage en naiv og sårbar funksjon som henter data
6. Lage en litt mer sikker funksjon som henter data

Formålet med dette er å komme i gang med å jobbe med Git, Docker, Python og PostgreSQL fra Python. 

Vi starter med å starte opp PostgreSQL 

Starte postgres docker:
```bash
docker run -p 5432:5432 --name some-postgres -e POSTGRES_PASSWORD=mysecretpassword -d postgres
```
List kjørende kontainere
```bash
docker ps
```
Stopp en kjørende kontainer
```bash
docker stop some-postgres 
```
List også stoppede kontainere
```bash
docker ps -a
```
Start en stoppet kontainer
```bash
docker start some-postgres 
```
Slett kontaineren, husk å slette volum med -v, hvis ikke kan det bli mye liggende
```bash
docker rm -v some-postgres
```

In [None]:
from sqlalchemy import *

Vi kobler til databasen vi nettopp lagde for å opprette en ny database..

In [None]:
#Det er veldig, veldig dårlig praksis å ha hemmeligheter i kode.. skal vise dere mulige måter å håndtere dette på senere..
CONNSTR = "postgresql+psycopg2://postgres:mysecretpassword@localhost/postgres"

In [None]:
engine = create_engine(CONNSTR)

Nå oppretter vi en tabell og setter inn litt data.
Dette blir den tungvinte måten. 

In [None]:
with engine.connect() as c:
    c.execute(text("""
    DROP TABLE IF EXISTS tabellen;
    """))
    c.execute(text("""
    CREATE TABLE IF NOT EXISTS tabellen (
        Id int,
        Name varchar(255)
    )
    """))
    c.execute(text("""
    INSERT INTO tabellen (Id, Name) 
    VALUES (1, 'John'), (2, 'Paul'), (3, 'George'), (4, 'Ringo');
        """))
    c.commit()

In [None]:
with engine.connect() as c:
    res = c.execute(text("""
    SELECT * FROM tabellen;
    """))
    for r in res:
        print(r)

### En usikker funksjon for å hente ut en Beatle sin id basert på navnet

In [None]:
def finn_beatle_id_utrygg(engine, beatle):
    query = f"""
        SELECT Id FROM tabellen WHERE Name = '{beatle}';
        """
    print(query)
    #Vi setter autocommit her for å få til svakheten vår.. 
    with engine.connect().execution_options(isolation_level="AUTOCOMMIT") as c:
        res = c.execute(text(query))
        if res.returns_rows:
            for r in res:
                return r[0]
    return None

In [None]:
finn_beatle_id_utrygg(engine, "John")

In [None]:
finn_beatle_id_utrygg(engine, "'; DROP TABLE IF EXISTS tabellen; --")

In [None]:
finn_beatle_id_utrygg(engine, "John")

Her kan dere lese litt mer om dette, med en løsning vha. psycopg2 
https://realpython.com/prevent-python-sql-injection/
Vi skal imidlertid bruke en løsning fra SQLAlchemy her. 

### En bedre funksjon for å hente ut en Beatle sin id basert på navnet

Vi kan støtte oss til SQLAlchemy, og få mye hjelp, både med SQL injection og tabellkonstruksjon. 
De har et schema definition language som er nyttig for å lage tabeller:
https://docs.sqlalchemy.org/en/20/core/schema.html

In [None]:
# Dette er et trylletriks for å knytte flere objekter sammen. Ikke tenk så mye på denne..
metadata_obj = MetaData()

Her definerer vi en tabell med kode, men vi har ikke laget den i databasen ennå.

In [None]:
tabellen = Table("tabellen",
      metadata_obj,
      Column("Id", Integer),
      Column("Name", String(255)))

Som tidligere så dropper vi tabellen hvis den finnes fra før, og så setter vi den inn. 

In [None]:
tabellen.drop(engine, checkfirst=True)
tabellen.create(engine, checkfirst=False)

Nå kan vi legge inn litt data:

In [None]:
with engine.connect() as c:
    stmt = insert(tabellen).values([(1, "John"), (2, "Paul"), (3, "George"), (4, "Ringo")])
    c.execute(stmt)
    c.commit()

Nå kan vi definere den trygge funksjonen vår som unngar SQL injection. 

In [None]:
def finn_beatle_id_trygg(engine, tabellen, beatle):
    stmt = select(tabellen.c.Id).where(tabellen.c.Name == literal(beatle))
    #print(stmt)
    with engine.connect().execution_options(isolation_level="AUTOCOMMIT") as c:
        res = c.execute(stmt)
        for r in res:
            return r[0]
    return None

In [None]:
finn_beatle_id_trygg(engine, tabellen, "John")

In [None]:
finn_beatle_id_trygg(engine, tabellen, "'; DROP TABLE IF EXISTS tabellen; --")

In [None]:
finn_beatle_id_trygg(engine, tabellen, "John")

Dette gikk jo fint!