常见MySQL操作
所需模块:
pip3 install pymysql
查询(fetchone,fetchmany,fetchall):
1.fetchone
import pymysql con = pymysql.connect(host="localhost", user="root", password="admin", database="pysql", charset="utf8")
cursor = con.cursor()
try:
# 当id设置为主键,但是没有设置为自增时,则必须给id字段赋值,否则会报错。
sql = "select * from userinfo;"
cursor.execute(sql)
# 单使用一个fetchone会获取索引为0的记录,若使用多个fetchone时,会按照前一个的索引值继续向下获取记录
data1 = cursor.fetchone()
data2 = cursor.fetchone()
data3 = cursor.fetchone()
except Exception as e:
print("error")
cursor.close()
con.close()
print(data1)
print(data2)
print(data3)
2.fetchmany
import pymysql con = pymysql.connect(host="localhost", user="root", password="admin", database="pysql", charset="utf8")
cursor = con.cursor()
try:
# 当id设置为主键,但是没有设置为自增时,则必须给id字段赋值,否则会报错。
sql = "select * from userinfo;"
cursor.execute(sql)
# 和fetchone相同:单个从0开始获取查询,多个从上一个的索引之后进行查询
data1 = cursor.fetchmany(3)
data2 = cursor.fetchmany(5)
except Exception as e:
print("error")
cursor.close()
con.close()
print(data1)
print(data2)
3.fetchall
import pymysql con = pymysql.connect(host="localhost", user="root", password="admin", database="pysql", charset="utf8")
cursor = con.cursor()
try:
# 当id设置为主键,但是没有设置为自增时,则必须给id字段赋值,否则会报错。
sql = "select * from userinfo;"
cursor.execute(sql)
# 单使用一个fetchmany会获取所有记录,若使用多个fetchone时,其余的fetchall()结果为空
data1 = cursor.fetchall()
data2 = cursor.fetchall()
except Exception as e:
print("error")
cursor.close()
con.close()
print(data1)
print(data2)
插入、更新、修改(最后需要提交)
import pymysql
conn=pymysql.connect(host='localhost',user='root',password='admin',database='db1')
cursor=conn.cursor()
sql='insert into user(name,password) values("xxx","123");'
rows=cursor.execute(sql)
print(cursor.lastrowid) #在插入语句后查看最新一条记录id
# pymysql.connect 类默认开启了事务,因此对表进行修改、更新、删除、插入操作时需要提交事务才可以生效
conn.commit()
cursor.close()
conn.close()
SQL注入
名词解释:
SQL注入是对Python与MySQL进行动态数据校验时,用户故意输入非法字段,从而绕过数据校验的行为。
import pymysql
user=input('用户名: ').strip()
pwd=input('密码: ').strip() #链接
conn=pymysql.connect(host='localhost',user='root',password='admin',database='db1',charset='utf8')
#游标
cursor=conn.cursor() #执行完毕返回的结果集默认以元组显示
#执行sql语句
sql='select * from user where name="%s" and password="%s"' %(user,pwd) #注意%s需要加引号
print(sql)
res=cursor.execute(sql) #执行sql语句,返回sql查询成功的记录数目
cursor.close()
conn.close() if res:
print('登录成功')
else:
print('登录失败')
正常情况下的输入过程:
故意绕过验证的非法输入
当知道用户名时:
虽然知道密码,但输入的密码不匹配却成功登陆。
用户名和密码都不知道时:
虽然不知道用户名和密码,却成功登陆。
SQL注入的中心思想就是人为的输入SQL语句中的特殊字符串,绕过验证。"--"在MySQL中为注释字符,通过此方法可以屏蔽部分代码,从而绕过验证。
解决办法:
使用MySQL的内置方法校验输入字符串的合法性,提高安全性。
import pymysql
user=input('用户名: ').strip()
pwd=input('密码: ').strip() #链接
conn=pymysql.connect(host='localhost',user='root',password='admin',database='db1',charset='utf8')
#游标
cursor=conn.cursor() #执行完毕返回的结果集默认以元组显示
#执行sql语句
sql='select * from user where name=%s and password=%s'#注意%s没有加引号
print(sql)
res=cursor.execute(sql,[user,pwd]) #执行sql语句,返回sql查询成功的记录数目
cursor.close()
conn.close()
if res:
print('登录成功')
else:
print('登录失败')
校验验证:
成功解决SQL注入问题。