Python操作MySQL及多数据SQL注入

已于 2023-10-30 17:35:38 修改
阅读量498 收藏 2
点赞数 1
分类专栏: MySQL 文章标签: 数据库 mysql Mysql安装教程 经验分享 SQL注入
于 2022-08-18 23:13:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MeiJin_/article/details/126412883
版权

文章目录

Python操作MySQL

我们想要在Pycharm里面操作MySQL需要安装一个模块 pymysql模块
如果没有下载cmd中 pip install pymysql 或者直接pycharm中 import pymysql 点击小灯安装即可

在这里插入图片描述


		import pymysql
		conn = pymysql.connect(host='127.0.0.1',
							   port=3306, user='root', 
							   password='123', database='likes', 
							   charset='utf8mb4', autocommit=True)  # 链接服务器
		cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)  # 产生一个游标对象(等待输入 相当于光标处等待输入)
		# 注意括号内内容没有写全 cursor=pymysql.cursors.DictCursor 则结果不会显示表格的信息名称
		sql1 = 'select * from dep1'     # 编写SQL语句
		cursor.execute(sql1)            # 发送给服务器
		res = cursor.fetchall()         # 获取命令的执行结果
		print(res)

		cursor.fetchall() # 获取结果中所有的数据
		cursor.fetchone() # 获取结果中一条数据
		cursor.fetchmany(# 获取结果集中指定的数据(括号内写入数字几获得几条数据)
		cursor 类似于光标 第一次获取完 再次获取的消息就丢失了 基于当前位置往后移动

		'''pycharm 里面写入SQL语句会飘黄 不用在意'''

在这里插入图片描述

SQL注入问题

	先用SQL语言编写一个用户登录
		import pymysql
		conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', password='123', database='likes',
		                       charset='utf8mb4', autocommit=True)  # 链接服务器
		cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)
		username = input('请输入您的账号:>>>>:').strip()
		password = input('请输入您的密码:>>>>:').strip()
		sql = "select * from new where name='%s' and pwd='%s'" % (username, password)
		cursor.execute(sql)
		res = cursor.fetchall()
		# print(res)    # 如果成功打印结果
		if res:
		    print('登录成功')
		else:
		    print('用户名或密码错误')

在这里插入图片描述

这个时候我们发现可以登录成功了 这么轻松吗?
这才开始 !!! 为什么输入没输入密码就登录成功了

在这里插入图片描述
在这里插入图片描述

	select * from new where name='xxx' or 1=1 -- asdadqdqdw' and pwd=''
	select * from new where name='like' -- asdqdqdq1d1' and pwd=''
	
	我们发现是我们在输入SQL语句的时候 达到了注释语法把后面给注释掉了 只有用户名是对的 就对了
	第一个是where后面结果如果是TRUE的话 那就算对

所以SQL注入的本质就是 利用一些特殊符号的组合产生了特殊的含义从而逃脱了正常的业务逻辑

措施就是 针对用户输入的数据不能输入符号什么的 这就是为什么很多网站账号不允许输入特殊符号的原因 所以用户输入的数据不要自己处理 交给专门的方法自动过滤

 sql = "select * from new where name=%s and pwd=%s"
 cursor.execute(sql, (username, password))  # pymysql会自动识别%s 并自动过滤各种符合 最后合并数据

在这里插入图片描述

知识点补充

cousor.executemany()
它的用法我们也知道就是一次性插入多行数据

import pymysql
conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', password='123', database='likes',
                       charset='utf8mb4', autocommit=True)  # 链接服务器
cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)
sql = 'insert into new(name,pwd) values(%s,%s)'
cursor.executemany(sql, [('jack', 123), ('lebron', 123), ('lisa', 123)])

在这里插入图片描述

as语法 给字段起别名、起表名 (为了见名知意)

select name as '名称' from new;	# name后面跟上as 输入新的名称即可

在这里插入图片描述

comment语法 # 给表、字段添加注释信息

 	create table server(id int) comment '这个server意思是服务器表'
	create table t1(
       id int comment '用户编号',
       name varchar(16) comment '用户名'
    ) comment '用户表';
   
   '''
   	两个可以查询注释的地方
   		show create table 表名
   		use information_schema 默认没有权限直接查看
   '''

concat、concat_ws语法
concat用于分组之前多个字段数据的拼接
concat_ws如果有多个字段 并且分隔符一致 可以使用该方法减少代码

select concat(name,pwd) from new;
select concat_ws('|',name,pwd) from new;

在这里插入图片描述
在这里插入图片描述

exists语法
exists后面的sql语句如果有结果那么执行前面的sql语句 如果后面没有结果则不执行

select * from emp1 where exists (select * from emp where id < 10);

在这里插入图片描述
在这里插入图片描述

技术小白记录学习过程,有错误或不解的地方请指出,如果这篇文章对你有所帮助请点点赞收藏+关注 谢谢支持 !!!

LoisMay
关注
专栏目录
Python 数据库开发实战 - PythonMySQL交互篇②〗- SQL 注入攻击案例
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
Python语句实现Mysql多条插入语句
10-26
本代码,用python语句,实现了一次插入多条sql语句。希望能对大家带来帮助。
python的pymysqlsql注入
软件测试老痞
12-09 190
import pymysql conn = pymysql.connect(host='127.0.0.1',port=3306,user='root',passwd='ljj83538301',db='test',charset='utf8') # cursor = conn.cursor()#拿到的是元组 cursor = conn.cursor(cursor=pymysql.cursor...
Python MySQL注入
weixin_44602192的博客
05-18 269
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一 利用SQL “#” 的注释功能更改原SQL语句来实现 存在SQL注入问题的代码: #! /usr/bin/python3 # -*- encoding:utf8 -*- import pymysql import hashlib dbserver = input('输入服务器地址:') username = input('请输入用户帐号:
python注入攻击_python番外篇--sql注入
weixin_35141284的博客
01-29 376
一、sql注入概念介绍所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。二、Python中防止sql注入的方法i...
Python如何防止sql注入
Alex
05-10 2338
前言 web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Python web开发的过程中sql注入是怎么出现的呢,又是怎么去解决这个问题的? 当然,我这里并不想讨论其他语言是如何避免sql注入的,网上关于PHP防注入的各种方法都有,Python的方法其实类似,这里我就举例来说说。 起因 漏洞产生的原因最常见的就是字符串拼接了,当然,sql注入并不只是拼接一种情况,还有像宽字节注入,特殊字符转义等等很多种,这里就说说最常见的字符串拼
最好用的Python连接Mysql库文件,防止SQL注入,可用数组编写SQL
02-20
综上所述,Python连接MySQL并进行安全操作涉及到多个方面,包括使用参数化查询防止SQL注入,数组编写SQL提高效率,通过事务管理确保数据一致性,以及优化代码和数据库设计来应对高并发场景。在实践中,需要结合具体...
Python入门」python操作MySQL和SqlServer
最新发布
07-17
### Python 操作 MySQL 数据库详解 ...通过以上内容,我们可以了解到如何使用 Python 的 pymysql 和 pymssql 库来操作 MySQL 和 SQL Server 数据库的基本方法。无论是初学者还是有经验的开发者,这些知识都非常有用。
Python操作MySQL数据.pdf
01-29
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),而Python作为一种通用编程语言,提供了多种方式来操作MySQL数据。本篇文章将深入探讨如何使用Python连接、查询和管理MySQL数据库。 首先,为了在Python中与...
Python中防止sql注入的方法详解
09-21
SQL注入是一种常见的网络安全攻击手段,攻击者通过在输入数据中嵌入恶意SQL代码,利用应用程序的漏洞执行非法操作,如篡改、删除或检索敏感数据等。对于使用Python进行Web开发的人员来说,了解如何有效地预防SQL注入...
python sql注入框架_python-SQLAlchemy + SQL注入
weixin_39837727的博客
12-09 219
添加到@Tendrid答案。 我使用安静的天真方法进行了一些调查。 *criterion方法具有*criterion作为其参数,其他几种ORM Query方法也具有类似的参数。如果是*criterion方法,则方法*criterion参数最终传递到_literal_as_text,如果是字符串,则将其标记为安全sql(如果我输入错误,请更正我)。 因此,这使其不安全。这是带有*criterion自...
python插入一条sql数据示例
qq_41976826的博客
11-23 209
【代码】python插入一条sql数据示例。
Pycharm连接SQL Server数据库
weixin_55340846的博客
03-29 887
PyCharm是一款功能强大的Python集成开发环境(IDE),它提供了与各种数据库的连接和操作的功能。函数连接到SQL Server数据库。需要提供数据库的连接字符串,包括服务器名称、数据库名称、用户名和密码等信息。以上就是在PyCharm中连接SQL Server数据库的基本步骤。连接SQL Server数据库:使用pyodbc库提供的。关闭连接:在完成数据库操作后,记得关闭连接。方法创建一个游标对象,并使用游标对象的。执行SQL查询:使用连接对象的。获取查询结果:使用游标对象的。
Python mysql操作 执行sql语句插入\查询等
zhouzy00001的博客
12-20 1982
啊直接上代码了。 这个代码我用来做jenkins的构建记录的查询和写入的(在成功构建后,命令行执行的形式,执行该代码) (需要项目源码加v:ct-xiaozhou;非机构,行业变迁,多个好友多点可能性) import datetime import sys import pymysql class TestMysqlDB: test_host ='10.255.**.**' test_port =3306 test_user ='root' test_p...
Python sql插入的简便写法
Peaunt_Python的博客
11-02 2250
# 插入操作 def insert_sql(conn,cursor,tablename, toinserts_values): keys = ", ".join(toinserts_values.keys()) qmark = ", ".join(["%s"] * len(toinserts_values)) sql_insert = "insert into %s (%s) values (%s)" % (tablename, keys, qmark) tr...
pycharm 连接SQL
qq_41929657的博客
08-18 4183
import pymysql conn = pymysql.Connect( host='127.0.0.1', port=3306, user='root', password='123456', database='mydb', charset='utf8', ) cursor = conn.cursor() #开启事务 conn.begin...
pycharm 导入sql
weixin_45228198的博客
05-10 2955
文章目录专业版pycharm 专业版pycharm 连接mysql 选择data source–mysql 连接上mysql后,选中当前的连接 点击+ , 选中Console控制台; 将sql文件内容复制到控制台,全选;执行。
PyCharm 连接 SQLSever
red_bayberry的博客
05-03 3428
Pycharm连接SQL Sever
通过PyCharm用Django连接Sqlserver(Mssql)
东东不邪的专栏
11-02 7474
一、查看django相关第三方包安装情况 File--&gt;Settings--&gt;Project:工程名--&gt;Project Interpreter,进入后,双击任意包,可打开Available Packages界面,输入mssql,如下图一(为不影响阅读,本文涉及截图统一放后文了)。 百度了一圈,原本打算用django-mssql,结果点击进入官网,发现作者都不维护了,而且推荐...
Python操作MySQL:pymysql模块详解及SQL注入防范
"pymysql模块的使用方法及SQL注入防范" 在Python操作MySQL数据库时,pymysql模块是一个常用的选择。它作为一个Python接口,允许开发者通过Python代码与MySQL服务器进行交互。首先,你需要通过`pip3 install ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LoisMay

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值