pymysql的基本使用
安装pymysql模块
pip3 install pymysql
导入模块
import pymysql
pymysql.connec(…)进入数据库的界面
注意:charset = ‘utf8’,这里的 utf8 不能写成 utf-8
import pymysql
# 链接数据库
conn = pymysql.connect(
# 主机地址
host='127.0.0.1',
# 端口号
port=3306,
user='root',
password='12345678',
# 链接的库的名称
database='company',
# 字符串类型
charset='utf8'
)
cursor(cursor=pymysql.cursors.DictCursor)生成游标对象
cursor = conn.cursor() # 括号内不写参数默认是元组类型展示
# cursor = conn.cursor( cursor=pymysql.cursors.DictCursor ) # 会将每一条记录变成字典类型
# 定义 sql 语句
sql = 'show tables'
sql1 = 'show databases'
# execute(sql 语句)--执行 SQL 语句
affect_rows = cursor.execute(sql)
# 该方法有一个返回值,执行 SQL 语句之后所影响的行数
print(affect_rows)
# 获取执行的结果
res = cursor.fetchall()
print(res)
affect_rows1 = cursor.execute(sql1)
print(affect_rows1)
res = cursor.fetchall()
print(res)
scroll控制游标移动
cursor.scroll( 整数, 移动模式 )
移动模式只有两种:‘relative’和’absolute’
# 相对移动,相对游标当前所处的的位置,向后移动一个位置
cursor.scroll( 1, 'relative' )
# 绝对移动,相对于初始位置,向后移动一个位置
cursor.scroll( 1, 'absolute' )
pymysql 的二次确认
pymysql 对于数据库的查询操作并不需要二次确认
pymysql 对于数据库的 增加,删除,修改操作需要二次确认
sql = 'insert into test1(name, password) values (%s,%s)'
cursor.execute(sql,('tony',123))
# 二次确认,注意调用的是 conn 而不是cursor
conn.commit()
很明显,该方法每次修改都要加上commit( )很不方便
连接数据库时修改参数-------autocommit = True
import pymysql
# 链接数据库
conn = pymysql.connect(
# 主机地址
host='127.0.0.1',
# 端口号
port=3306,
user='root',
password='595420',
# 链接的库的名称
database='py',
# 字符串类型
charset='utf8',
# 自动二次确认
autocommit = True
)
SQL 注入问题
利用特殊符号的组合,组成的 SQL 语句来绕过一些特定的机制
import pymysql
conn = pymysql.connect(
host='127.0.0.1',
port=3306,
user='root',
password='595420',
database='py',
charset='utf8'
)
cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)
username = input('username:>>>>').strip()
password = input('password:>>>>').strip()
# 定义 sql 语句
sql = 'select * from test where name="%s" and password="%s"'%(username,password)
# sql = f'select * from test1'
# execute(sql 语句)--执行 SQL 语句
cursor.execute(sql)
# 获取执行的结果
res = cursor.fetchall()
if res:
print(res)
print('login success')
else:
print('login failed')
写正确的用户名错误的密码也可以登录
用户名:jason’ – jhahsdjasdjasd
密码:直接回车
用户名和密码都不需要也可以登录
用户名:xxx’ or 1=1 – asdjasjdkajsd
密码:直接回车
“”“上述现象就是典型的SQL注入问题”“”
上述情况利用的是MySQL注释语法及逻辑运算符
解决方法:
解决SQL注入的问题其实也很简单 就是想办法过滤掉特殊符号
execute方法自带校验SQL注入问题 自动处理特殊符号
ps:设计到敏感数据的拼接 全部交给execute方法即可!!!
sql = “select * from userinfo where name=%s and password=%s;”
cursor.execute(sql, (name, password))