Python使用MySQL数据库方法及防SQL注入

最新推荐文章于 2023-06-03 23:59:50 发布
最新推荐文章于 2023-06-03 23:59:50 发布
阅读量2.1k 收藏 10
点赞数 2
分类专栏: Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47670683/article/details/114002909
版权

安装pymysql模块

python操作mysql需要安装pymysql模块:

pip install pymysql

连接数据库

建议使用with这种方式,有两条好处:一是可以不用另外写close语句关闭连接,二是在异常退出时也能保证关闭连接。

题外话,python非常强调简洁和一致性,文件打开、关闭;socket连接、关闭;mysql连接、关闭等等都建议使用with。

import pymysql
with pymysql.connect(host='mysql的ip', user='你的用户名', password='你的密码', database='day5')\
        as conn, conn.cursor() as cur:  # 连接数据库的对象名字是conn;连接数据库的游标对象名字是cur。

查询

使用execute方法执行SQL语句:

cur.execute('select * from score')

获取查询结果全部内容。注意这种方式非常占内存,一般不使用这种方式:

ret = cur.fetchall()  # 返回结果是元组,fetchall方法返回所有记录
print(ret)

获取查询结果,逐条处理。推荐使用这种方式:

for i in range(cur.rowcount):  # rowcount是查询结果的记录数量
    print(cur.fetchone())  # fetchone方法返回一条记录

获取查询结果,指定返回记录数:

ret = cur.fetchmany(50)  # 返回50条记录
print(ret)
ret = cur.fetchmany(50)  # 返回剩下50条记录
print(ret)

增删改

使用execute方法执行SQL语句,注意增删改涉及到修改数据,execute方法执行完毕后还要执行commit方法提交后才会真正生效:

cur.execute('insert into student values (17,"男","熊大")')
conn.commit()

注意,改动数据库可能会遇到报错的情况,上述代码并不完整。通常完整的结构如下:

try:
    cur.execute('insert into student values (17,"男","熊大")')
	conn.commit()  # 提交改动数据的操作
except Exception as e:
    print(e)  # 遇到报错时打印报错信息或写入日志文件
	conn.rollback()  # 上述改动数据的操作遇到报错时执行回滚

防注入

关于防SQL语句注入要先看案例再来说明:

假设有一个应用,登录时需要用户提供用户名和密码。Python程序收到用户输入的用户名和密码后再提交到MySQL数据库进行比对,若用户名和密码正确则允许登录,错误则拒绝登录。

  • 一、创建测试用的库和表:

    create database test_login;
use test_login;
create table login(name char(12),password char(12));
insert into login values('张三','123456');

  • 二、未防范SQL注入的错误代码案例:

    import pymysql

with pymysql.connect(host='127.0.0.1', user='你的账户', password='你的密码', database='test_login') \
        as conn, conn.cursor() as cur:
    usr = input('请输入用户名:')
    pwd = input('请输入密码:')
    condition = f'select * from login where name="{usr}" and password="{pwd}"'
    print(condition)
    cur.execute(condition)
    if cur.rowcount:
        print('登录成功')
    else:
        print('登录失败')

  • 三、测试SQL注入,在输用户名时输入 1" or 1=1; #,请看下图:

    在这里插入图片描述

    请认真看上面打印的sql语句内容:

    select * from login where name="1" or 1=1; #" and password="1"

    请注意sql语句中#表示注释后面的全部内容,所以MySQL服务端真正执行的语句如下:

    select * from login where name="1" or 1=1;

    看到这相信大家都能明白为啥无论密码输入什么都能登录成功,以上就是著名的SQL注入。上面的案例仅仅是示范如何绕过安全验证,实际上通过SQL注入甚至可以删库、删表造成整个系统崩溃。所以我们写代码时必须要防范SQL注入!

  • 四、防范SQL注入的正确代码:

    import pymysql

with pymysql.connect(host='127.0.0.1',  user='你的账户', password='你的密码', database='test_login') \
        as conn, conn.cursor() as cur:
    usr = input('请输入用户名:')
    pwd = input('请输入密码:')
    condition = 'select * from login where name="%s" and password="%s"'
    print(condition)
    cur.execute(condition, (usr, pwd))  # execute方法有2个参数,第一个是SQL语句,第二个是元组(元组的成员是多个参数)
    if cur.rowcount:
        print('登录成功')
    else:
        print('登录失败')

  • 五、测试SQL注入

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ScwmOz06-1614085050023)(/home/windf/图片/sqlzr2.jpg)]

    此时可以看到SQL注入不会生效,请牢记execute防范SQL注入的正确方法!!!写代码务必不要出现可以SQL注入的巨大漏洞!!!
    补充一条:可以在用户输入用户名和密码时进行检测,不允许用户名和密码中出现;和#这2个符号。这样也可以有效地防范SQL注入!

皛心
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python+Django实现防止SQL注入的办法
09-18
主要介绍了python+Django实现防止SQL注入的办法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
python pymysql 安全查询,防注入
u012902518的博客
05-14 487
性能第二,安全第一 尽量不要使用字符串拼接调用方式,或者能保证数据安全(提前做好验证处理)的时候可以使用拼接 基本点:存入数据库的字符串做转义,将标点和特殊符号全换成html实体,例如, <转换为&lt; >转换为&gt; 在必要的时候反向转换或不转换 1,参数化语句防止注入 sql = "select user,pwd,sex,birthday,add_time,group from User where user='%s' and pwd='%s'" d..
python使用mysql防止SQL注入
帅的飞起的博客
04-24 759
python使用mysql防止SQL注入
Python3实现连接mysql并执行增删改查操作(源代码)
04-30
本文提供了一个使用Pythonmysql-connector-python库连接MySQL数据库并执行增删改查(CRUD)操作的示例代码。首先,介绍了必要的安装步骤和MySQL数据库的连接配置。接着,通过定义多个函数,包括连接数据库、执行查询、插入数据、更新数据和删除数据,展示了如何使用PythonMySQL数据库进行交互。每个函数都包含了详细的注释,以解释其功能和操作过程。最后,通过一个主函数,展示了如何按顺序执行这些CRUD操作,并在操作完成后关闭数据库连接。整个示例代码强调了安全性和最佳实践,如使用参数化查询来避免SQL注入,并在执行更新或删除操作后提交事务。
新闻发布系统mysql数据库设计
09-04
当设计新闻发布系统时,通常需要考虑以下功能模块: 用户管理:系统需要提供用户注册、登录、注销等功能,并对用户进行身份验证。用户可以拥有不同的权限,如管理员、编辑、普通用户等。 新闻管理:系统需要提供新闻的创建、编辑、发布、删除等功能。新闻可以包含标题、内容、图片等元素。 分类管理:系统需要提供分类的创建、编辑、删除等功能。分类用于将新闻归类,方便用户浏览和搜索。 评论管理:系统需要提供评论的添加、删除、修改等功能。用户可以在新闻或评论中发表自己的观点和看法。 搜索功能:系统需要提供搜索功能,用户可以通过关键词搜索相关的新闻或评论。 统计功能:系统可以提供统计功能,例如统计新闻的阅读量、评论数量、点击率等。 安全性:系统需要确保数据的安全性,包括用户密码加密、防止SQL注入等安全措施。 在实现新闻发布系统的过程中,可以选择使用编程语言和数据库等技术工具。例如,可以使用MySQL或其他关系型数据库来存储新闻、分类、评论等数据。同时,可以选择使用PHP、Java、Python等编程语言来编写系统的后端逻辑和接口。
python mysql防注入_Python防止sql注入方法详解
weixin_28893597的博客
02-09 702
前言大家应该都知道现在web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Python web开发的过程中sql注入是怎么出现的呢,又是怎么去解决这个问题的?当然,我这里并不想讨论其他语言是如何避免sql注入的,网上关于PHP(博主注:据说是世界上最屌的语言)防注入的各种方法都有,Python方法其实类似,这里我就举例来...
pythonMySQL学习——防止SQL注入
weixin_34384557的博客
06-05 223
pythonMySQL学习——防止SQL注入 学习了:https://www.cnblogs.com/xiaomingzaixian/p/7126840.html https://www.cnblogs.com/sevck/p/6733702.html  mysql环境,目前通过了%s的测试,但是?还是不行哦;  ...
pythonpymysql交互 防止sql注入
erfan_lang的博客
09-28 849
目录什么是SQL注入?如何防止SQL注入参数化sql语句,%s作占位 什么是SQL注入? 用户提交带有恶意的数与SQL语句进行字符串方式的拼接,从而影响了SQL语句的语义,最终产生数据泄露的现象。 如何防止SQL注入? SQL语句参数化 SQL语言中的参数使用%s来占位,此处不是python中的字符串格式化操作 将SQL语句中%s占位所需要的参数存在一个列表中,把参数列表传递给execute()方法中第二个参数 #游标 cursor = conn.cursor(pymysql.cursors.DictCu
python mysql防注入_安装MySQL-python
weixin_36037280的博客
02-09 122
1、使用yum安装1.1检查MySQL-python[root@gfsunny105 mysql_tools]# pythonPython 2.4.3 (#1, Dec 10 2010, 17:24:32)[GCC 4.1.2 20080704 (Red Hat 4.1.2-50)] on linux2Type "help", "copyright", "credits" or "license"...
mysql--mysqlpython的交互--防止sql 注入
sundanping_123的博客
07-01 191
如何防止?构建参数 新增功能5:根据商品名字查询商品信息 这里如果不使用 防止sql 注入,就会有可能被用户查询出所有的商品信息,这里我们使用构建参数(防sql注入)来实现这一功能 from pymysql import connect class JD(object): def __init__(self): # 创建连接 self.conn = c...
python 零基础学习篇 MySQL数据库3 sql注入防止sql注入 .mp4
04-21
python 零基础学习篇
python 零基础学习篇 MySQL数据库4 pymysql防止sql注入的多个参数使用 .mp4
04-21
python 零基础学习篇
Python使用pymysql模块操作mysql增删改查实例分析
12-23
本文实例讲述了Python使用pymysql模块操作mysql增删改查。分享给大家供大家参考,具体如下: # -*- coding:utf-8 -*- import pymysql user = input('请输入用户名:') pwd = input('请输入密码:') # 1.连接 conn =...
Python安全漏洞及防护总结
m0_49706119的博客
07-26 3871
Python安全漏洞及防护总结
Python中如何防止sql注入
定期分享编程干货~
04-05 2362
 sql注入中最多见的就是字符串拼接,研发人员对字符串拼接应该引发重视,不该忽略。python   错误用法1:mysql     sql = "select id, name from test where id=%d and name='%s'" %(id, name)sql     cursor.execute(sql)微信   错误用法2:函数     sql = "select id, name from test where id="+ str(id) +" and name='"+.
如何检测mysql注入漏洞_SQL注入漏洞检测
weixin_32027887的博客
01-27 3725
一个度过菜鸟期的后台程序员都会小心的避开SQL注入常见低级错误。除了白盒和代码评审,作为第三方的渗透测试,使用sqlmap这样的常用工具进行SQL注入扫描可以降低上述问题发生概率。工具环境准备0.先检查一下是否安装过sqlmap工具,显示下版本sqlmap --version如果运行成功说明已经安装此工具,比如返回1.1.6#pip如果没有安装过sqlmap,请参考后面两个步骤1.安装pip工具多...
PythonMySQL 进行增删改查的操作以及防SQL注入
LoadingCreate的博客
06-03 1039
SQL 注入是一种常见的网络攻击方式,它的原理是通过将恶意 SQL 代码注入到应用程序中,从而获取数据库中的敏感信息。以上就是在 Python防止 SQL 注入的方式,通过使用占位符、参数化查询和过滤输入内容等方法,我们可以有效地保护 Python 应用程序的安全性,避免 SQL 注入的发生。在使用 SQL 语句时,我们可以通过占位符的方式传递参数,从而避免 SQL 注入的风险。就是占位符,它可以将传递的参数进行处理,从而避免 SQL 注入的风险。是使用占位符的方式,可以有效地避免 SQL 注入问题。
Python防止sql注入
weixin_34334744的博客
06-23 263
看了网上文章,说的都挺好的,给cursor.execute传递格式串和参数,就能防止注入,但是我写了代码,却死活跑不通,怀疑自己用了一个假的python   最后,发现原因可能是不同的数据库,对于字符串的占位定义不同,这段话: Note that the placeholder syntax depends on the database you are using 'qmark' Q...
python_geohash-0.8.5-cp38-cp38-win_amd64.whl.zip
最新发布
05-29
python_geohash-0.8.5-cp38-cp38-win_amd64.whl.zip
使用PythonMySQL数据库的建议
07-12
使用Python连接和操作MySQL数据库时,以下是一些建议: 1. 安装MySQL Connector/Python库:MySQL Connector/Python是官方提供的用于连接和操作MySQL数据库Python库。你可以通过pip命令安装它:`pip install mysql-connector-python`。 2. 导入库并建立连接:在Python中导入`mysql.connector`模块,并使用`connect()`函数建立与MySQL数据库的连接。提供正确的主机名、用户名、密码和数据库名等参数。 ```python import mysql.connector # 建立连接 cnx = mysql.connector.connect( host="localhost", user="username", password="password", database="database_name" ) ``` 3. 创建游标对象:使用连接对象的`cursor()`方法创建一个游标对象,它用于执行SQL查询和获取结果。 ```python # 创建游标对象 cursor = cnx.cursor() ``` 4. 执行SQL查询:使用游标对象的`execute()`方法执行SQL查询。可以使用参数占位符来传递查询中的值,以防止SQL注入攻击。 ```python # 执行查询 query = "SELECT * FROM table_name WHERE column = %s" value = ("some_value",) cursor.execute(query, value) ``` 5. 获取结果:使用游标对象的`fetchall()`、`fetchone()`或`fetchmany()`方法获取查询结果。可以使用循环遍历结果集并进行相应的操作。 ```python # 获取结果 results = cursor.fetchall() for row in results: # 处理每一行数据 print(row) ``` 6. 提交和关闭连接:在完成数据库操作后,使用连接对象的`commit()`方法提交更改,并使用`close()`方法关闭连接。 ```python # 提交更改 cnx.commit() # 关闭连接 cursor.close() cnx.close() ``` 这些是使用PythonMySQL Connector/Python库连接和操作MySQL数据库的基本步骤。你可以根据具体需求和情况进行更多的操作,如插入数据、更新数据、删除数据等。确保参考相关文档以了解更多可用方法和选项。祝你使用Python成功地与MySQL数据库进行交互!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值