<!-- LTeX: language=fr -->

Cours 12‚ÄØ: FastAPI et les bases de donn√©es relationnelles
=========================================================

**Lo√Øc Grobol** [<lgrobol@parisnanterre.fr>](mailto:lgrobol@parisnanterre.fr)


In [None]:
from IPython.display import display

## Bases de donn√©es

Les bases de donn√©es en 30s pour les Pythonista press√©‚ãÖe‚ãÖs‚ÄØ:

- Une **entr√©e** dans une base de donn√©es, c'est comme un tuple nomm√©‚ÄØ: c'est une s√©rie ordonn√©e de
  valeurs, chacune associ√©e √† une cl√©.
  

- Une **table**, c'est une liste d'entr√©es qui ont toutes les m√™mes cl√©s. On pense souvent aux
  entr√©es comme aux lignes (*row*) d'un tableau et aux cl√©s comme des colonnes.
  - Une des cl√©s sert d'identifiant‚ÄØ: on l'appelle la **cl√© primaire** et la valeur associ√©e doit
     √™tre unique pour chacune des entr√©es de la table.
  - souvent, une des colonnes a comme valeurs des cl√©s primaires d'entr√©es d'une autre
    table
    - √áa permet de cr√©er des liens entre tables.
    - On dit dans ce cas que cette colonne est une **cl√© √©trang√®re**.

- Une **base de donn√©es**, c'est un ensemble de tables.

On peut raffiner beaucoup ce mod√®le pour des usages avanc√©s et il existe d'autres fa√ßons d'envisager
les bases de donn√©es, mais en ce qui nous concerne √ßa suffira.

Les bases de donn√©es sont un concept crucial en informatique, aussi bien en th√©orie qu'en pratique
et elles sont tr√®s vite n√©cessaire d√®s qu'on g√®re des grandes quantit√©s d'informations structur√©es.

Il y a plein de fa√ßons d'impl√©menter une base de donn√©es‚ÄØ: on peut tout √† fait envisager une base de
donn√©es impl√©ment√©e en Python comme une liste de listes de tuples nomm√©s et sauvegard√©e dans un
fichier JSON. En pratique, on fait rarement √ßa parce que

- Lire un fichier √† chaque recherche, c'est long.
- R√©√©crire un fichier √† chaque modification, c'est tr√®s long.
- Avoir plusieurs processus qui acc√®dent en m√™me temps √† un fichier c'est compliqu√©.

Le mod√®le qu'on suit habituellement est plut√¥t un mod√®le client-serveur‚ÄØ: un programme (le
gestionnaire) g√®re la base de donn√©es et les autres programmes y acc√®dent en passant des messages au
gestionnaire, souvent dans un langage adapt√© comme SQL (_**S**tructured ~~**Q**ueering~~ **Q**uery
**L**anguage_).

```sql
create table recettes (id int not null primary key, nom varchar, texte text);
insert into recettes values (0, 'Tartelettes amandines', 'Battez pour qu''ils soient mousseux quelques ≈ìufs');
select * from recettes where nom='Tartelettes amandines';
```

<small>Notez la fa√ßon extr√™mement maudite de d√©sp√©cialiser le simple quote</small>

Les d√©tails (sous quelle forme est stock√©e la base, comment y sont faites les requ√™tes‚Ä¶) sont
internes au gestionnaire. Toujours la s√©paration des pr√©occupations.

## SQLite

/Àå…õsÀåkjuÀêÀå…õlÀàa…™t/ en anglais, /ÀàsiÀêkw…ôÀåla…™t/ pour la frime, pour moi le plus souvent /…õskylajt/

SQLite est une biblioth√®que minimaliste de bases de donn√©es, √† laquelle on peut acc√©der en Python
depuis le module [`sqlite3`](https://docs.python.org/3/library/sqlite3.html) de la biblioth√®que
standard. Elle a deux particularit√©s qui nous arrangent bien‚ÄØ:

- Elle ne n√©cessite pas de gestionnaire s√©par√©‚ÄØ: votre script peut acc√©der √† la base sans passer par
  un autre processus.
- Les bases sont stock√©es dans des fichiers uniques.

C'est tr√®s avantageux pour nous‚ÄØ: on a pas √† s'imposer l'installation et la configuration d'un
syst√®me de gestion de bases de donn√©es, la cr√©ation d'utilisateurs avec des droits et tout le
*boilerplate* qui est utile pour des grosses applications, mais un sacr√© frein pour nous.

Le revers de la m√©daille, c'est que si l'application devient plus complexe, qu'on a besoin de plus
de fonctions, de gestion plus fine, √ßa ne suffira plus. **Cependant** il sera toujours temps de
migrer plus tard si besoin‚ÄØ: ¬´‚ÄØ*premature optimisation is the root of all evil*‚ÄØ¬ª.

In [None]:
import sqlite3

Comment on ouvre une base de donn√©es en SQLite‚ÄØ? On a dit que c'√©tait juste un fichier, et bien il
suffit de donner son chemin

In [None]:
con = sqlite3.connect("db.sqlite3")

√áa cr√©e le fichier s'il n'existe pas d√©j√†, lit la base de donn√©e qui est dedans et vous y donne
acc√®s. On peut aussi passer `":memory:"` √† la place d'un chemin, ce qui cr√©√© la base en RAM plut√¥t
que comme un fichier.

On fait ce qu'on a √† y faire, puis on ferme la connexion.

In [None]:
con.close() 

Astuce : on peut utiliser [`contextlib.closing`](https://docs.python.org/3/library/contextlib.html#contextlib.closing) pour le faire automatiquement et proprement

In [None]:
from contextlib import closing
with closing(sqlite3.connect("db.sqlite3")) as con:
    pass  # Faire des trucs ici

Ok, super, on a ouvert et ferm√© un fichier, mais comment on acc√®de √† la base‚ÄØ?

Avec un [curseur](https://docs.python.org/3/library/sqlite3.html#cursor-objects)

In [None]:
with closing(sqlite3.connect("db.sqlite3")) as con:
    cur = con.cursor()
    cur.execute("create table if not exists recettes (id int not null primary key, nom varchar, texte text)")
    cur.execute("insert into recettes values (0, 'Tartelettes amandines', 'Battez pour qu''ils soient mousseux quelques ≈ìufs')")
    con.commit()
    cur.execute("select * from recettes where nom='Tartelettes amandines';")
    print(cur.fetchall())
    cur.close()

Quelques trucs √† noter

- On ex√©cute des commandes en SQL avec la m√©thode `execute`¬†d'un curseur. On peut aussi ex√©cuter
  tout un script avec `executescript`¬†ou ‚Äî‚ÄØmieux, voir plus bas‚ÄØ‚Äî¬†`executemany`
- Une fois qu'elles sont ex√©cut√©es, il faut les valider en utilisant la m√©thode `commit` de la
  connexion. Tant qu'on ne l'a pas fait, rien ne se passe.
- Pour r√©cup√©rer les r√©sultats d'une requ√™te on peut utilise les m√©thodes `fetchone`, `fetchall` ou
  `fetchmany` du curseur. Comme d'hab, la
  [doc](https://docs.python.org/3/library/sqlite3.html#cursor-objects) est votre amie.
- On ferme les curseurs avec leur m√©thode `close`

On peut r√©cup√©rer un r√©sum√© de la table sous la forme des commandes SQL qui permettent de la recopier √† l'identique avec `iterdump`

In [None]:
with closing(sqlite3.connect("db.sqlite3")) as con:
    for l in con.iterdump():
        print(l)

Attention quand vous construisez des instructions SQL √† partir d'entr√©es que vous ne ma√Ætrisez pas

In [None]:
with closing(sqlite3.connect("db.sqlite3")) as con:
    cur = con.cursor()
    cur.executescript("""
    insert into recettes values (2, 'Tiramisu', 'Aucune id√©e mais c''est d√©licieux');
    insert into recettes values (3, 'Seitan bolognaise', 'Commencer par faire du seitan');
    """
    )
    con.commit()
    cur.execute("select * from recettes")
    print(cur.fetchall())
    cur.close()

In [None]:
def read_recette(name):
    with closing(sqlite3.connect("db.sqlite3")) as con:
        cur = con.cursor()
        cur.execute(f"select * from recettes where nom='{name}'")
        res = cur.fetchall()
        cur.close()
    return res

read_recette("Tiramisu")

Pas de probl√®me jusque l√†, mais si un individu malveillant passe un nom qui contient du code‚ÄØ:

In [None]:
read_recette("Tiramisu' or nom <> 'Tiramisu")

√áa dumpe toute la table‚ÄØ! Si vous avez eu la mauvaise id√©e de faire √ßa dans un¬†`executescript` c'est
pire, vous risquez de rencontrer Bobby Tables

[![](https://imgs.xkcd.com/comics/exploits_of_a_mom.png)](https://xkcd.com/327)

Pour √©viter √ßa‚ÄØ: on utilise des requ√™tes param√©tr√©es qui seront assainies pour nous

In [None]:
def read_recette(name):
    with closing(sqlite3.connect("db.sqlite3")) as con:
        cur = con.cursor()
        cur.execute("select * from recettes where nom=:lenom", {"lenom": name})
        res = cur.fetchall()
        cur.close()
    return res

display(read_recette("Tiramisu"))
display(read_recette("Tiramisu' or nom <> 'Tiramisu"))

Avec √ßa (et un manuel de SQL sous la main) vous avez l'essentiel de ce qu'il faut pour g√©rer des
bases de donn√©es en SQLite. On l'a dit, c'est minimaliste.

Une derni√®re astuce‚ÄØ? On peut r√©cup√©rer des mappings plut√¥t que des tuples avec `fetch‚Ä¶`‚ÄØ:

In [None]:
def read_recette(name):
    with closing(sqlite3.connect("db.sqlite3")) as con:
        con.row_factory = sqlite3.Row
        cur = con.cursor()
        cur.execute("select * from recettes where nom=:lenom", {"lenom": name})
        res = cur.fetchall()
        cur.close()
    return res

recettes = read_recette("Tiramisu")
[r["texte"] for r in recettes]

## üå≤ Exo üå≤

√âcrire un script qui construit une base de donn√©es en SQLite qui contient une table √† trois colonnes
qui repr√©sente un treebank Universal Dependencies. La premi√®re colonne qui servira de cl√© primaire
contiendra pour chaque arbre son attribut `sent_id`, la deuxi√®me contiendra son attribut `text`,
enfin la derni√®re contiendra l'arbre syntaxique qu format CoNLL-U. Remplissez cette base avec le
contenu d'un treebank UD de votre choix. Vous pouvez vous aider de
[`conllu`](https://github.com/EmilStenstrom/conllu) pour faire le boulot de parser le fichier.

## Utiliser une base de donn√©es dans FastAPI

C'est assez courant d'avoir besoin de bases de donn√©es pour des applications complexes. Les cas
typiques sont

- Une base qui rassemble des donn√©es qu'on compte pr√©senter aux utilisateurices (par exemple avec la
  base de l'exo pr√©c√©dent on peut vouloir leur permettre de faire des recherches dans un treebank)
- Une base √† usage interne comme une base d'utilisateurices qui stocke leur nom, leur avatar, leurs
  param√®tres, des infos de connexion (comme un hash du mot de passe)‚Ä¶

Ce n'est pas tr√®s compliqu√©, voyons ensemble un exemple‚ÄØ:

In [None]:
# %load apis/simple.py
from typing import List
import sqlite3

from fastapi import FastAPI, Depends
from pydantic import BaseModel

app = FastAPI()


def get_db():
    con = sqlite3.connect("db.sqlite3")
    cur = con.cursor()
    try:
        yield cur
        con.commit()
    finally:
        cur.close()
        con.close()


# Database setup
con = sqlite3.connect("db.sqlite3")
cur = con.cursor()
cur.execute(
    "create table if not exists trees (tree_id VARCHAR NOT NULL PRIMARY KEY, text TEXT)"
)
cur.close()
con.close()


class Tree(BaseModel):
    tree_id: str
    text: str


# Methods for interacting with the database
def get_tree(cur: sqlite3.Cursor, tree_id: str):
    cur.execute("select * from trees where tree_id=:tree_id", {"tree_id": tree_id})
    db_tree_id, db_text = cur.fetchone()
    return {"tree_id": db_tree_id, "text": db_text}


def get_trees(cur: sqlite3.Cursor):
    cur.execute("select * from trees")
    return [
        {"tree_id": db_tree_id, "text": db_text}
        for db_tree_id, db_text in cur.fetchall()
    ]


def create_tree(cur: sqlite3.Cursor, tree: Tree):
    cur.execute(
        "insert into trees values (:tree_id, :text)",
        {"tree_id": tree.tree_id, "text": tree.text},
    )
    return tree


@app.post("/trees/", response_model=Tree)
def create_trees_view(tree: Tree, db: sqlite3.Cursor = Depends(get_db)):
    db_tree = create_tree(db, tree)
    return db_tree


@app.get("/trees/", response_model=List[Tree])
def get_trees_view(db: sqlite3.Cursor = Depends(get_db)):
    return get_trees(db)


@app.get("/tree/{tree_id}")
def get_tree_view(tree_id: str, db: sqlite3.Cursor = Depends(get_db)):
    return get_tree(db, tree_id)


√áa marche exactement comme les API qu'on a d√©j√† r√©alis√©, simplement les op√©rations font appel √†
`sqlite3`¬†pour interagir avec une base de donn√©es.

Le seul truc nouveau ici (mais dont on aurait p√ª se passer) c'est l'utilisation de `Depends` et
`get_db`‚ÄØ: il s'agit d'une [injection de
d√©pendance](https://fastapi.tiangolo.com/tutorial/dependencies)

Quand un param√®tre dans un point d'acc√®s a comme valeur par d√©faut `Depends(gen)`, il n'est pas
r√©cup√©r√© √† partir de la requ√™te, mais √† partir de ce qui est renvoy√© par le g√©n√©rateur `gen` avec
`yield`.

Une fois la fonction correspondant au point d'acc√®s termin√©e, FastAPI reprends l'ex√©cution de
`get_db` pour faire un `commit`, puis fermer le curseur et la base.

Ces derni√®res op√©rations sont plac√©es dans la clause `finally`¬†d'un bloc `try:`, ce qui assure
qu'elles seront ex√©cut√©es m√™me si la m√©thode d'API ou le `commit` √©chouent.

Pour une utilisation plus agr√©able sans √©crire de requ√™tes SQL √† la main, on peut utiliser
[SQLAlchemy](https://docs.sqlalchemy.org) qui s'int√®gre bien avec FastAPI

In [None]:
# %load apis/full_treebank.py
from typing import List
from fastapi import FastAPI, Depends
from pydantic import BaseModel
from sqlalchemy import create_engine
from sqlalchemy.orm import declarative_base, sessionmaker, Session
from sqlalchemy import Column, String, Text

app = FastAPI()

# SqlAlchemy Setup
SQLALCHEMY_DATABASE_URL = "sqlite:///db.sqlite3"
engine = create_engine(SQLALCHEMY_DATABASE_URL, echo=True, future=True)
SessionLocal = sessionmaker(autocommit=False, autoflush=False, bind=engine)
Base = declarative_base()


def get_db():
    db = SessionLocal()
    try:
        yield db
    finally:
        db.close()


class Tree(BaseModel):
    tree_id: str
    text: str

    class Config:
        orm_mode = True


class DBTree(Base):
    __tablename__ = "trees"

    tree_id = Column(String, primary_key=True, index=True)
    text = Column(Text)


Base.metadata.create_all(bind=engine)


# Methods for interacting with the database
def get_tree(db: Session, tree_id: str):
    return db.query(
        DBTree
    ).where(
        DBTree.tree_id == tree_id
    ).first()


def get_trees(db: Session):
    return db.query(DBTree).all()


def create_tree(db: Session, tree: Tree):
    db_tree = DBTree(**tree.dict())
    db.add(db_tree)
    db.commit()
    db.refresh(db_tree)

    return db_tree


@app.post("/trees/", response_model=Tree)
def create_trees_view(tree: Tree, db: Session = Depends(get_db)):
    db_tree = create_tree(db, tree)
    return db_tree


@app.get("/trees/", response_model=List[Tree])
def get_trees_view(db: Session = Depends(get_db)):
    return get_trees(db)


@app.get("/tree/{tree_id}")
def get_tree_view(tree_id: str, db: Session = Depends(get_db)):
    return get_tree(db, tree_id)


@app.post("/trees/")
async def create_tree_view(tree: Tree):
    return tree


C'est essentiellement la m√™me chose, en plus agr√©able √† √©crire, mais aussi en plus magique. √Ä vous
de voir ce que vous pr√©f√©rez, FastAPI a [un
tutoriel](https://fastapi.tiangolo.com/tutorial/sql-databases) sur l'utilisation de SQLAlchemy pour
un gestionnaire d'utilisateurices basique.

√áa vaut aussi le coup de lire un jour [le tutoriel de
SQLAlchemy](https://docs.sqlalchemy.org/en/14/tutorial) qui est plus ou moins la biblioth√®que
standard pour travailler avec des bases de donn√©es relationnelle en Python. C'est un peu touffu,
mais √ßa se fait en prenant son temps et vous vous remercierez plus tard (et qui ne voudrait pas √™tre
un‚ãÖe alchimiste‚ÄØ?).

<small>Bien s√ªr il n'y a pas que les BDD relationnelles dans la vie et vous aurez probablement √†
travailler avec d'autres trucs comme MongoDB mais ceci est une autre histoire</small>

Pour la gestion d'utilisateurices en particulier‚ÄØ: sur un prototype √ßa peut se faire √† la main, mais
tr√®s tr√®s vite l'id√©al est de passer √† une biblioth√®que comme [FastAPI
Users](https://fastapi-users.github.io/fastapi-users/) qui g√®re pour vous les op√©rations standard
comme la gestion de mots de passe tout en vous laissant personnaliser ce dont vous avez besoin.