# オライリー『入門Python3』の SQLite の例

In [1]:
import sqlite3

sqlite3.version

'2.6.0'

In [2]:
conn = sqlite3.connect('enterprise.db')
curs = conn.cursor()
curs.execute('''CREATE TABLE zoo (
critter VARCHAR(20) PRIMARY KEY,
count INT,
damages FLOAT)''')

<sqlite3.Cursor at 0x1057cef10>

In [3]:
# duck と bear を INSERT
curs.execute('INSERT INTO zoo VALUES("duck", 5, 0.0)')
curs.execute('INSERT INTO zoo VALUES("bear", 2, 1000.0)')

<sqlite3.Cursor at 0x1057cef10>

上の例で、値の部分を変数にして、

```python
curs.execute('INSERT INTO zoo VALUES({}, {}, {})'.format("duck", 5, 0.0))
```

のようにやりたくなる。このようにやると予期しないSQL文を差し込んでしまう可能性があるので、危険。

[xkcd: Exploits of a Mom](https://xkcd.com/327/) で、子供に `Robert'); DROP TABLE Students;--` という名前を付けた母のせいで学校のデータベースが消えるという例が載っていた。

In [4]:
# プレースホルダーを使った安全な方法
ins = 'INSERT INTO zoo(critter, count, damages) VALUES(?, ?, ?)'
curs.execute(ins, ('weasel', 1, 2000.0))

<sqlite3.Cursor at 0x1057cef10>

In [5]:
# SELECT
curs.execute('SELECT * FROM zoo')
curs.fetchall()

[('duck', 5, 0.0), ('bear', 2, 1000.0), ('weasel', 1, 2000.0)]

In [6]:
# ソートする
curs.execute('SELECT * FROM zoo ORDER BY count')
curs.fetchall()

[('weasel', 1, 2000.0), ('bear', 2, 1000.0), ('duck', 5, 0.0)]

In [7]:
# 降順にソートする
curs.execute('SELECT * FROM zoo ORDER BY count DESC')
curs.fetchall()

[('duck', 5, 0.0), ('bear', 2, 1000.0), ('weasel', 1, 2000.0)]

In [8]:
# damages MAX を抽出
curs.execute('''SELECT * FROM zoo WHERE
damages = (SELECT MAX(damages) FROM zoo)''')
curs.fetchall()

[('weasel', 1, 2000.0)]

In [9]:
curs.close()
conn.close()

## Reference

- [Python SQLite 公式ドキュメント](https://docs.python.org/3/library/sqlite3.html)
  - [xkcd: Exploits of a Mom](https://xkcd.com/327/) が紹介されてた