# Banco de Dados 2

Prepara√ß√£o corra üèÉ‚Äç‚ôÇÔ∏è‚Äç‚û°Ô∏è os seguintes c√≥digos:

```python
# Chamando bibliotecas - banco de dados
import sqlite3 
from contextlib import closing
```

```python
# Criando um banco de dados (Create)
conex√£o = sqlite3.connect("agenda.db")
cursor = conex√£o.cursor()
cursor.execute(''' create table agenda(nome text,telefone text) ''')
cursor.execute('''insert into agenda (nome, telefone) values(?,?)''', ("Nilo","7788-1432"))
conex√£o.commit()
cursor.close()
conex√£o.close
```

```python
# Inserindo registros (Create)
dados = [("Jo√£o","98901-0109"),
("Andr√©","98902-8900"),
("Maria","97891-3321")]
conex√£o = sqlite3.connect("agenda.db")
cursor = conex√£o.cursor()
cursor.executemany(''' 
    insert into agenda(nome,telefone)
    values(?,?)
 ''',dados)
conex√£o.commit()
cursor.close()
conex√£o.close()
```

```python
# Pesquisando um banco de dados (Recover)
from contextlib import closing 
with sqlite3.connect('agenda.db') as conex√£o:
    with closing(conex√£o.cursor()) as cursor:
        cursor.execute("select * from agenda")
        while True:
            resultado = cursor.fetchone()
            if resultado is None:
                break
            print(f'Nome: {resultado[0]} \nTelefone: {resultado[1]}')
```

## Consultando registros

At√© agora, n√£o fomos al√©m do que poder√≠amos ter feito com simples arquivos de texto. A facilidade de um sistema de banco de dados come√ßa a aparecer quando precisamos procurar e alterar dados. Ao trabalharmos com arquivos, essas opera√ß√µes devem ser implementadas em nossos programas, mas, com o SQLite, podemos realiz√° - las usando comandos SQL. Primeiro, vamos utilizar uma varia√ß√£o do comando `select` para mostrar apenas alguns registros, implementando uma sele√ß√£o de registros com base em uma pesquisa. Pesquisas em SQL s√£o feitas com a cl√°usula `where` . Vejamos o comando SQL , que seleciona todos os registros da agenda, cujo o nome seja igual a "Nilo".

```sql
select * from agenda where nome = "Nilo"
```

 Veja que apenas acrescentamos a cl√°usula `where` ap√≥s o nome da tabela. O crit√©rio de sele√ß√£o ou de pesquisa deve ser escrito como uma express√£o, no caso `nome = "Nilo"`. O programa 4 mostra com essa modifica√ß√£o (em que o `=` em SQL seria equivalente ao `==` do Python).

```python
# Programa 4 - Consulta com filtro de sele√ß√£o
with sqlite3.connect("agenda.db") as conex√£o:
    with closing(conex√£o.cursor()) as cursor:
        cursor.execute("select * from agenda where nome = 'Nilo'")
        while True:
            resultado = cursor.fetchone()
            if resultado is None:
                break
            print(f"Nome: {resultado[0]}\nTelefone: {resultado[1]}")
```

Ao executarmos o Programa 4 devemos ter apenas um: resultado:

```
Nome: Nilo
Telefone: 7788-1432
```


Veja que escrevemos 'Nilo' entre ap√≥strofos. Aqui, podemos usar um pouco do j√° sabemos sobre strings em Python e escrever:

```sql
cursor.execute('select * from agenda nome = "Nilo"')
```

Ou seja, poder√≠amos trocar as aspas por ap√≥strofos ou ainda usar aspas triplas:

```sql
cursor.execute(""" select * from agenda where nome = "Nilo" """)
```

 No caso do nosso exemplo, o nome 'Nilo' √© uma constante e n√£o h√° problemas em escrev√™-lo diretamente em nosso comando `select`. No entanto, caso o  nome a filtrar viesse de uma var√°vel, ficar√≠amos tentados a escrever um programa, como:
 
 ```python
nome = input("Nome a selecionar: ")
with sqlite3.connect("agenda.db") as conex√£o:
    with closing(conex√£o.cursor()) as cursor:
        cursor.execute(f'select * from agenda where nome = "{nome}"')
        while True:
            resultado = cursor.fetchone()
            if resultado is None:
                break
            print(f"Nome: {resultado[0]}\nTelefone: {resultado[1]}")
```
Execute o programa com v√°rios valores: Nilo, Jo√£o e Maria. Experimentamos tamb√©m com um nome que n√£o existe. A cl√°usula `where` funciona de forma parecida a um filtro. Imagine que o comando `select` cria uma lista e que a express√£o l√≥gica definida no where √© avaliada para cada elemento. Quando o resultado dessa avalia√ß√£o √© verdadeiro, a linha √© copiada para uma outra lista, a lista de resultados, retornada pela nossa consulta.

Veja que o programa funciona relativamente muito bem, exceto quando nada encontramos e o programa termina sem dizer muita coisa. N√≥s vamos corrigir esse problema logo a seguir, mas execute o programa mais uma vez e digite a seguinte sequ√™ncia como nome:

```
X" or "1" = "1
```

Resultado:

```
Nome: Nilo
Telefone: 7788-1432

Nome: Jo√£o
Telefone: 98901-0109

Nome: Andr√©
Telefone: 98902-8900

Nome: Maria
Telefone: 97891-3321

```

Surpreso com o resultado? Esse √© o motivo de n√£o utilizarmos vari√°veis em  nossos consultas. Esse tipo de vulnerabilidade √© um exemplo de SQLInjection, um ataque bem conhecido. Isso acontece porque o comando SQL resultante √©:

```sql
SELECT * FROM agenda WHERE nome = X" or "1" = "1
```

Para evitar esse tipo de ataque, sempre utilize par√¢metros com valores vari√°veis.

O `or` da linguagem SQL funciona de forma semelhante ao `or` do Python. Dessa forma, nossa entrada de dados foi modificada por um valor digitado no programa. Esse tipo de erro √© muito grave e pode ficar muito tempo em nossos programas sem ser percebido. Isso acontece porque a consulta √© uma string como outra qualquer, e o valor passado para o m√©todo `execute` √© a string resultante. Dessa forma, o valor digitado pelo usu√°rio pode introduzir elementos que n√≥s n√£o desejamos. Os operadores relacionais `and` e `not` funcionam exatamente como em Python, e voc√™ tamb√©m pode us√°-los em express√µes SQL.

Para n√£o cairmos nesse tipo de armadilha, utilizaremos sempre par√¢metros em nossa consultas:

```python
# Programa 5: Consulta utilizando par√¢metros
nome = input("Nome a selecionar: ")
with sqlite3.connect("agenda.db") as conex√£o:
    with closing(conex√£o.cursor()) as cursor:
        cursor.execute('SELECT * FROM agenda WHERE nome = ?',(nome,))
        x = 0
        while True:
            resultado = cursor.fetchone()
            if resultado is None:
                if x == 0:
                    print("Nada encontrado.")
                break
            print(f"Nome: {resultado[0]}\nTelefone: {resultado[1]}") 
            x +=1 
```


Agora utilizamos um par√¢metro como fizemos antes para inserir nossos registros. Um detalhe importante √© que escrevemos (nome,), repare a v√≠rgula ap√≥s `nome`. Esse detalhe importante √© que apresentamos, pois o segundo par√¢metro do m√©todo `execute` √© uma tupla, e, em Python, tuplas com apenas um elemento s√£o escritas com uma v√≠rgula ap√≥s o primeiro valor. Veja tamb√©m que utilizamos a vari√°vel `x` para contar quantos resultados obtivemos. Como o m√©todo `fetchone` retorna `None` quando todos registros foram recebidos, verificamos se `x == 0`. Isso acontece, pois valores diferentes de 0 no Python s√£o conhecidos como verdadeiros e `None`,0,"",{},[] como falsos.

***Exerc√≠cio 3*** - Escreva um programa que realize consultas do banco de dados pre√ßos.db, criado no Exerc√≠cio 1. O programa deve perguntar o nome do produto e listar seu pre√ßo.

*Obs.: Exerc√≠cio 1 - Fa√ßa um programa que crie o banco de dados pre√ßos.db com a tabela pre√ßos para armazenar uma lista de pre√ßos de venda de produtos. A tabela deve conter o nome do produto e seu respectivo pre√ßo. O programa tamb√©m deve inserir alguns dados para teste.*

***Exerc√≠cio 4*** - Modifique o programa do ***Exerc√≠cio 3*** de forma a perguntar dois valores e listar todos os produtos com pre√ßos entre esses dois valores.

## Atualizando registros

J√° sabemos como criar tabelas, inserir registros e fazer consultas simples. Vamos come√ßar a usar o comando `UPDATE` para alterar nossos registros. Por exemplo, vamos alterar o registro com telefone de "Nilo" para "12345-6789":

```sql
UPDATE agenda SET telefone = "12345-6789" WHERE nome = 'Nilo'
```

A cl√°usula ``WHERE`` funciona como no comando ```SELECT```, ou seja, ela avalia uma express√£o l√≥gica que, quando verdadeira, inclui o registro na lista de registros a modificar. A segunda parte do comando ```UPDATE``` √© cl√°usula ```SET```. Essa cl√°usula √© usada para indicar o que fazer nos registros selecionados pela express√£o do ```WHERE```. No exemplo, ```SET telefone = "12345-6789"``` muda o conte√∫do do campo ```telefone``` para ```12345-6789```. O comando inteiro poderia ser lido como: atualize os registros da tabela agenda, alterando o telefone para "12345-6789" em todos os registros em que o campo ```nome``` √© igual √° "Nilo". Vejamos o programa:

```python
with sqlite3.connect("agenda.db") as conex√£o:
    with closing(conex√£o.cursor()) as cursor:
        cursor.execute(""" UPDATE agenda
                             SET telefone = '12345-6789'
                             WHERE nome = 'Nilo' """)
    conex√£o.commit()
# Verificar mudan√ßa de telefone no Exerc√≠cio 5 acima ‚òùÔ∏è
```

Nesse exemplo utilizamos constantes, logo n√£o precisamos usar par√¢metros. As mesmas regras que aprendemos para o comando ```SELECT``` se aplicam ao comando ```UPDATE```. Se os valores n√£o forem constantes, voc√™ tem de utilizar par√¢metros.

O comando ```UPDATE``` pode alterar mais de um registro de uma s√≥ vez. Fa√ßa uma c√≥pia do arquivo ```agenda.db``` e experimente modificar o programa anterior, retirando a cl√°usula ```WHERE```:

```sql
UPDATE agenda SET telefone = "12345-6789"
```

Voc√™ ver√° que todos os registros foram modificados:
```
Nome: Nilo
Telefone: 12345-6789

Nome: Jo√£o
Telefone: 12345-6789

Nome: Andr√©
Telefone: 12345-6789

Nome: Maria
Telefone: 12345-6789
```

Sem a cl√°usula ```WHERE``` , todos os registros ser√£o alterados. Vamos utilizar a propriedade ```rowcount``` de nosso cursor para saber quantos registros foram alterados por nosso ```UPDATE```. Veja o programa com essas altera√ß√µes:

```python
# Programa 6 Exemplo de UPDATE e com rowcount
with sqlite3.connect("agenda.db") as coxe√ß√£o:
    with closing(conex√£o.cursor()) as cursor:
        cursor.execute("""
UPDATE agenda
SET telefone = '12345-6789'
""")
        print(f"Registros alterados: {cursor.rowcount}")
```


N√£o se esque√ßa de que, ap√≥s modificar o banco de dados, precisamos chamar o m√©todo ```commit```, como fizemos ao inserir os registros. Caso nos esque√ßamos, as altera√ß√µes ser√£o perdidas.

A propriedade ```rowcount``` √© muito interessante para confirmarmos o resultado de comandos de atualiza√ß√£o, como ```UPDATE```. Essa propriedade n√£o funciona com ```SELECT```, retornando sempre -1. Por isso, no Programa 5, contamos os registros retornados por nosso ```SELECT``` em vez de usarmos ```rowcount```. No caso de ```UPDATE```, poder√≠amos fazer uma verifica√ß√£o de quantos registros seriam alterados antes de chamarmos o ```commit``` , como:

```python
with sqlite3.connect("agenda.db") as conex√£o:
    with closing(conex√£o.cursor()) as cursor:
        cursor.execute("""
UPDATE agenda
SET telefone = '12345-6789'
""")
        print(f"Registros alterados: {cursor.rowcount}")
        if cursor.rowcount == 1:
            conex√£o.commit()
            print("Altera√ß√µes gravadas")
        else:
            conex√£o.rollback()
            print("Altera√ß√µes abortadas")
````

***Exerc√≠cio 5*** - Escreva um programa que aumente o pre√ßo de todos os produtos do banco de pre√ßos.db em 10%.

***Exerc√≠cio 6***  - Escreva um programa que pergunte o nome do produto e um novo pre√ßo. Usando o banco pre√ßos.db, atualize o pre√ßo desse produto no banco de dados.

## Apagando registros

Al√©m de inserir, consultar e alterar registros, podemos tamb√©m apag√°-los. O comando ```DELETE``` apaga registros com base em um crit√©rio de sele√ß√£o, especificado na cl√°usula ```WHERE``` que j√° conhecemos. Fa√ßa outra c√≥pia do arquivo ```agenda.db```. Copie o antigo banco de dados, com os registros antes de executarmos o Programa 6.

A sintaxe do comando ```DELETE``` √©:

```sql
DELETE FROM agenda WHERE nome = 'Maria'
```

Ou seja, apague da tabela ```agenda``` todos os registros com nome igual a ```''Maria''``` :

```python
with sqlite3.connect("agenda.db") as conex√£o:
    with closing(conex√£o.cursor()) as cursor:
        cursor.execute("""
DELETE FROM agenda WHERE nome = 'Maria'
""")
        print(f"Registros apagados: {cursor.rowcount}")
        if cursor.rowcount == 1:
            conex√£o.commit()
            print("Alera√ß√µes gravadas")
        else:
            conex√£o.roolback()
            print("Altera√ß√µes abortadas")
```

Utilizamos o m√©todo ```rowcount``` para ter certeza de que est√°vamos apagando apenas um registro. Assim como no comando ```INSERT``` e ```UPDATE```, voc√™ precisa chamar ```commit``` para gravar as altera√ß√µes ou ```roolback``` caso contr√°rio.