pymysql模块和SQL注入

最新推荐文章于 2024-06-01 18:13:57 发布
最新推荐文章于 2024-06-01 18:13:57 发布
阅读量1.2k 收藏
点赞数 2
分类专栏: 数据库 Python 文章标签: mysql python 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39330486/article/details/119727112
版权

系列文章目录

文章目录

一、pymysql模块

  • 作用:

    该模块可以帮助我们使用python代码,操作数据库。

  • 安装:

    该模块是第三方模块,需要手动安装:

    python3 -m pip install PyMySQL

  • 语法:

    # 导入模块
import pymysql

# 建立与MySQL服务器的连接
conn = pymysql.connect(host='localhost',   # MySQL服务器的主机地址
                       port=3306,          # 端口号
                       user='root',        # 用户名
                       password='123456',  # 密码
                       database='task',    # 目标数据库
                       charset='utf8mb4'   # 编码,不要加“-”,否则报错
                       )


# 创建游标
# 游标是专门用于执行sql语句的
cursor = conn.cursor()

# sql语句,不要忘记分号
sql = 'INSERT INTO user(name,age) values(%s,%s);'

try:
    # 执行sql语句
    cursor.execute(sql,('hugh',17))
    
    # 提交对数据库的修改
    conn.commit()

except:
    # 执行回滚
    conn.rollback()
    • 第24行,execute()方法,第一个参数是要执行的SQL语句;第二个参数是SQL语句需要的值(在sql语句中用%s占位),采用元组形式传入。
      其实,这里的SQL语句是字符串,我们完全可以采用格式化输出的方式直接修改,之所以这样大费周章的采用传参数的形式,是为了防止SQL注入。这个SQL注入会在下一节讲。
      execute()方法的返回值是SQL语句影响的记录行数。比如,插入了4行记录,就返回4。一般用不到这个返回值。
    • 如果要一次插入多个值,就改用executemany()方法,传入的参数采用列表包含元组的形式:
       sql = 'INSERT INTO user(name,age) values(%s,%s)'
 cursor.executemany(sql,[('张三',11),('李四',21),('王五',31)])
    • 第26行,在提交修改前,所有的修改操作都只是作用于内存当中临时的数据库,不是真正的数据库。一旦提交修改,才会应用到硬盘中保存的真正的数据库。
    • 第30行,回滚用于SQL语句执行失败的时候,它会将撤销所有的修改操作,让数据库(不是真正的数据库,是内存当中临时的数据库)恢复到执行SQL语句之前的模样。

  • 获取SQL的执行结果:
    这些方法通常只在查询操作中使用:

    # 获取sql的查询结果,返回值为元组类型
 cursor.fetchone()  # 获取一行记录
 cursor.fetchmany(数量)  # 获取指定数量的记录
 cursor.fetchall()  # 获取所有记录

    • 返回值默认为元组类型,比如:((1, 'hugh', 'male', 18), (2, 'tom', 'male', 33))

    • 在创建游标时,向cursor()方法传入参数cursor=DictCursor,可以使查询结果以字典形式返回,其中,键就是字段名:
      [{'id': 1, 'name': 'hugh', 'gender': 'male', 'age': 18}, {'id': 2, 'name': 'tom', 'gender': 'male', 'age': 33},

    • 游标取完第n条记录后,会向后移动到第n+1条记录的位置,下次再获取时,会从n+1条开始继续获取。

    • 移动游标:

      游标.scroll(偏移量, 模式)

      偏移量代表移动的步数,正数代表向后移,负数代表向前移;

      模式有两种:

      相对位移——relative:从当前位置开始移动;

      绝对位移——absolute:从第一条记录的位置开始移动。

  • 调用存储过程:

    游标.callproc(存储过程名称, (存储过程的实参列表))

二、SQL注入及解决方法

永远不要信任用户的任何输入!

  • SQL注入的概念:

    SQL注入是一种常见的网络攻击手法,它利用sql的语法特性和程序员编写程序时产生的漏洞,完成一些如跳过密码验证等的非法操作。

  • 举例:

    比如,在编写登录模块时,我们使用了如下查询语句来查询用户信息:

    SELECT * FROM usrs WHERE username=用户输入的用户名 AND password=用户输入的密码;

    并且,我们没有对用户的输入做任何处理,直接放到了SQL语句中。那么,当黑客输入了xxx' OR 1=1 -- haacyugjavh作为用户名时,原来的SQL语句就会变成下面的样子:

    SELECT * FROM usrs WHERE username='xxx' OR 1=1 -- haacyugjavh' AND password=;

    username='xxx' OR 1=1是一个恒成立的条件,所以无论输入什么用户名都会返回True;而--后面的语句被当作注释忽略掉了,密码验证也被跳过。最终,黑客成功登录。

  • 解决方法:

    不要手动拼接sql语句,而是交给pymysql去处理。

    先用%s占位:

    sql = 'SELECT * FROM usrs WHERE username=%s AND password=%s;'

    再在执行sql语句时,以元组形式传入用户输入:

    cursor.execute(sql,(username,password))

    pymysql会自动处理用户输入,防止SQL注入。

下一篇

花_城
关注
专栏目录
pymysql模块的操作实例
12-23
pymysql模块时一个第三方模块!需要下载: pymysql的基本使用: import pymysql conn = pymysql.connect( user = 'root', password = '123', host = '127.0.0.1', # ip地址 port = 3306, # 端口 charset = '...
pymysql的使用,sql注入问题
Yydsaoligei的博客
08-18 810
pymysql的使用,sql注入问题, MySQL
sqlpymysql
sdytfdyfu的博客
07-08 160
1、编辑sql语句 2、编辑更新的信息 3、提交修改
Python 操作 MySQL 之 pysqlSQLAchemy
m0_59485658的博客
01-03 1027
pymsqlPython 中操作 MySQL 的原生模块,其使用方法和 MySQLSQL语句几乎相同
python sql模板_GitHub - dushitaoyuan/py_mybatis: python mybatis 实现,python SqlTemplate
weixin_33937306的博客
01-15 411
from py_mybatis.sql.mybatis_sql_session import MybatisMapperScanner, MybatisSqlSession, PooledDBimport pymysqlimport osimport unittestimport timeclass PyMybatisTest(unittest.TestCase):@classmethoddef ...
sql注入的问题与解决-pymysql的增删改查--------
weixin_74711824的博客
06-23 306
SQL注入的问题与解决⭐🐻作者: 芝士小熊饼干📖 系列专栏: 数据结构-蓝桥杯-算法⭐💪坚持天数:20天🤖SQL注入的问题与解决⭐pymsql的增删改查⭐。
pymysql模块的使用(增删改查)详解
09-09
总结,pymysql模块提供了一种简单而强大的方式来在Python程序中操作MySQL数据库,通过参数化查询防止SQL注入,以及使用事务管理增、删、改操作,确保数据的完整性和安全性。了解并熟练掌握这些基础知识,将有助于你...
Pythonpymysql 模块的使用详解
09-09
Python中的pymysql模块是用于在Python环境下与MySQL数据库交互的工具,它是Python 3.x版本的MySQL数据库接口。在Python 2.x中,通常使用MySQLdb模块,但随着Python 3的普及,pymysql成为了更优选的选项,因为它完全...
使用python操作mysql,,SQL注入问题, 视图, 触发器 ,事务(掌握重点), 存储过程,索引 问题
qq_38104453的博客
10-26 821
使用pymysql模块操作mysql, SQL注入问题, 视图, 触发器 ,事务(掌握重点), 存储过程,索引
SQL注入
acepanhuan的博客
02-09 522
SQL注入原理
10.26 知识总结(python操作MySQLSQL注入问题、事务、触发器等)
weixin_66010453的博客
10-26 432
由于程序员对用户输入的数据的合法性没有进行判断和处理;导致客户端可以通过向服务器提交恶意输入 ,造成服务端产生畸形SQL语句,从而非法读取网站数据库,而不是按照设计者意图去执行SQL语句。视图就是通过查询得到一张虚拟表,然后保存下来,下次直接使用即可在满足对某张表数据的增、删、改的情况下,自动触发的功能称之为触发器。开启一个事务可以包含一些sql语句,这些sql语句要么同时成功。要么一个都别想成功,称之为事务的原子性。
Pythonpymysql详解
Hello LinWoW~ ⊙o⊙
05-16 8077
PyMySQL PyMySQL 是在 Python3.x 版本中用于连接 MySQL 服务器的一个库,Python2中则使用mysqldb。 安装pymysql PyMySQL : 这是一个使Python连接到MySQL的库,它是一个纯Python库。 PyMySQL是一个开源项目 :https://github.com/PyMySQL/PyMySQL 通过下面的命令来进行安装pymysql模块:...
python导入pymysql模块_pymysql 模块简单使用
weixin_29629231的博客
01-29 5027
关视频可参考Python3 从入门到精通视频教程千里马:Python3 从入门到精通视频教程​zhuanlan.zhihu.compymysql 模块简单使用安装 pymysql 模块使用 pymysql 连接数据库 并插入数据数据库的写入数据流程1.导入模块from pymysql import connect2.Connection 对象 目的:用于建立代码与数据库的连接创建连接对象 conn...
Python从入门到进阶】56、Mysql防止SQL注入及ORM库简化操作
最新发布
程序猿之洞
06-01 919
SQL注入攻击发生在用户输入被直接拼接到SQL查询语句中,而没有被适当地验证或转义。攻击者可以构造特殊的输入,使得原本用于筛选或检索数据的SQL语句变得具有破坏性。如果$username或$password变量直接来自用户输入,并且没有经过适当的验证或转义,那么攻击者可以通过输入类似' OR '1'='1的值来绕过身份验证。ORM库的主要目标是实现数据库表与编程语言中的类之间的映射。在ORM中,数据库表被映射为类,表中的行被映射为类的实例(对象),而列则被映射为对象的属性。
手把手教你用Python轻松玩转SQL注入
菜鸟学识的博客
05-23 1445
大家好,我是黄伟。相信大家经常有听到过SQL注入啥的,但是并不是特别了解;小编以前就是经常听别人说,但是自己啥都不懂,直到后来看了相关教材后才明白,原来是这么个东西,那么到底是什么东西了,又或者是不是个东西了?我们接着往下看。总的来说,SQL注入无非就是一段艰难险阻的路程,你可以发现但是别人也可以防御,虽然你发现要比较久的时间,但是人家防御却是很轻松,个人觉得得不偿失,不建议大家深入了解,只是做个简单的介绍了解下就好,至少你搜索技能因此而提高了不少吧。
Python连接MySQL数据库(简单便捷)
m0_67391377的博客
07-28 2467
PyMySQL是在Python3.x版本中用于连接MySQL服务器的一个库,Python2中则使用mysqldb。
Python 操作Mysql(PyMysql)
Charge8的博客
02-13 4065
Python 操作Mysql(PyMysql)
PythonPyMySQL操作详解
创作不易,请多支持,将为本站提供更多「有价值的文章」。
10-23 709
PyMySQL 是在 Python3.x 版本中用于连接 MySQL 服务器的一个库,Python2中则使用mysqldb。Django中也可以使用PyMySQL连接MySQL数据库
Python操作MySQLpymysql模块详解及SQL注入防范
"pymysql模块的使用方法及SQL注入防范" 在Python中操作MySQL数据库时,pymysql模块是一个常用的选择。它作为一个Python接口,允许开发者通过Python代码与MySQL服务器进行交互。首先,你需要通过`pip3 install ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

花_城

你的鼓励就是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值