第五部分:MySQL与Python交互
8.1 创建连接
-
详细案例参考html文件16.4
-
引入模块
在py文件中引入pymysql模块
from pymysql import * -
Connection 对象
用于建立与数据库的连接
创建对象:调用connect()方法conn=connect(参数列表)
参数host:连接的mysql主机,如果本机是’localhost’
参数port:连接的mysql主机的端口,默认是3306
参数database:数据库的名称
参数user:连接的用户名
参数password:连接的密码
参数charset:通信采用的编码方式,推荐使用utf8 -
对象的方法
close()关闭连接
commit()提交
cursor()返回Cursor对象,用于执行sql语句并获得结果 -
Cursor对象
用于执行sql语句,使用频度最高的语句为select、insert、update、delete
获取Cursor对象:调用Connection对象的cursor()方法
cs1=conn.cursor() -
对象的方法
close()关闭
execute(operation [, parameters ])执行语句,返回受影响的行数,主要用于执行insert、update、delete语句,也可以执行create、alter、drop等语句
fetchone()执行查询语句时,获取查询结果集的第一个行数据,返回一个元组
fetchall()执行查询时,获取结果集的所有行,一行构成一个元组,再将这些元组装入一个元组返回 -
对象的属性
rowcount只读属性,表示最近一次execute()执行后受影响的行数
connection获得当前连接对象 -
参考01_MySQL案例:
002/003/004 -
案例002
# -*- coding:utf-8 -*-
# date: 2019-05-30
# 使用pymysql连接数据库
# 对数据库进行增删改
from pymysql import *
def main():
# 创建Connection连接
conn = connect(
host='localhost', port=3306, database='jing_dong',
user='root', password='xxxxxxxx', charset='utf8'
)
# 获得Cursor对象,该对象用于执行sql语句
cs1 = conn.cursor()
# 执行sql语句,读取出sql语句选择的table中的数据
# 返回结果是数据的行数
print(cs1.execute('select * from goods;'))
print('*' * 100)
# 取出的数据是以元组的形式
# 取出1行数据,取过的就不会再取
print(cs1.fetchone())
print('*' * 100)
print(cs1.fetchone())
print('*' * 100)
# 取出多行数据,传入取出的行数
print(cs1.fetchmany(3))
print('*' * 100)
# 取出所有的数据
print(cs1.fetchall())
print('*' * 100)
# 关闭Cursor对象
cs1.close()
# 关闭Connection对象
conn.close()
print("MySQL数据库连接已关闭")
if __name__ == '__main__':
main()
- 案例003
# -*- coding:utf-8 -*-
# date: 2019-05-30
# 使用pymysql连接数据库
# 条件查询
from pymysql import *
class JD(object):
def __init__(self):
# 创建Connection连接
self.conn = connect(
host='localhost', port=3306, database='jing_dong',
user='root', password='xxxxxxxx', charset='utf8'
)
# 获得Cursor对象,该对象用于执行sql语句
self.cursor = self.conn.cursor()
def __del__(self):
# 关闭Cursor对象
self.cursor.close()
# 关闭Connection对象
self.conn.close()
print("-----查询完成,数据库连接已关闭-----")
def execute_sql(self, sql):
# 执行sql语句的方法
# 执行sql语句,读取出sql语句选择的table中的数据
self.cursor.execute(sql)
# 取出上面已经选择的数据
for temp in self.cursor.fetchall():
print(temp)
def show_all_items(self):
'''显示所有的商品'''
sql = "select * from goods;"
self.execute_sql(sql)
def show_cates(self):
'''显示所有商品分类'''
sql = "select name from goods_cates;"
self.execute_sql(sql)
def show_brands(self):
'''显示所有商品分类'''
sql = "select name from goods_brands;"
self.execute_sql(sql)
# 静态方法,类内部调用,不需要传入参数
@staticmethod
def print_menu():
print("--------京东--------")
print("1: 所有的商品")
print("2: 所有的商品分类")
print("3: 所有的商品品牌分类")
return input("请输入功能所对应的序号(1或着2或者3): ")
def run(self):
while True:
num = self.print_menu()
if num == "1":
# 查询所有的商品
self.show_all_items()
elif num == "2":
# 查询所有的商品分类
self.show_cates()
elif num == "3":
# 查询所有的商品品牌分类
self.show_brands()
else:
print("输入序号有误,请重新输入")
def main():
# 1.创建一个京东商城对象
jd = JD()
# 2.调用这个对象的run方法,让其运行
jd.run()
if __name__ == '__main__':
main()
- 案例004
# -*- coding:utf-8 -*-
# date: 2019-05-30
# 使用pymysql连接数据库
# 条件查询
from pymysql import *
class JD(object):
def __init__(self):
# 创建Connection连接
self.conn = connect(
host='localhost', port=3306, database='jing_dong',
user='root', password='xxxxxxxx', charset='utf8'
)
# 获得Cursor对象,该对象用于执行sql语句
self.cursor = self.conn.cursor()
def __del__(self):
# 关闭Cursor对象
self.cursor.close()
# 关闭Connection对象
self.conn.close()
print("-----查询完成,数据库连接已关闭-----")
def execute_sql(self, sql):
# 执行sql语句的方法
# 执行sql语句,读取出sql语句选择的table中的数据
self.cursor.execute(sql)
# 取出上面已经选择的数据
for temp in self.cursor.fetchall():
print(temp)
def show_all_items(self):
'''显示所有的商品'''
sql = "select * from goods;"
self.execute_sql(sql)
def show_cates(self):
'''显示所有商品分类'''
sql = "select name from goods_cates;"
self.execute_sql(sql)
def show_brands(self):
'''显示所有品牌分类'''
sql = "select name from goods_brands;"
self.execute_sql(sql)
def add_brands(self):
item_name = input("输入新商品品牌的名称:")
sql = """insert into goods_brands(name) values('%s')""" % item_name
self.cursor.execute(sql)
# 执行提交上面sql语句的结果到数据库
self.conn.commit()
# 静态方法,类内部调用,不需要传入参数
@staticmethod
def print_menu():
print("--------京东--------")
print("1: 所有的商品")
print("2: 所有的商品分类")
print("3: 所有的商品品牌分类")
print("4: 添加一个商品品牌分类")
return input("请输入功能所对应的序号: ")
def run(self):
while True:
num = self.print_menu()
if num == "1":
# 查询所有的商品
self.show_all_items()
elif num == "2":
# 查询所有的商品分类
self.show_cates()
elif num == "3":
# 查询所有的商品品牌分类
self.show_brands()
elif num == "4":
# 添加一个商品分类
self.add_brands()
else:
print("输入序号有误,请重新输入")
def main():
# 1.创建一个京东商城对象
jd = JD()
# 2.调用这个对象的run方法,让其运行
jd.run()
if __name__ == '__main__':
main()
8.2 参数化
-
参数化
sql语句的参数化,可以有效防止sql注入
注意:此处不同于python的字符串格式化,全部使用%s占位 -
参考01_MySQL案例:
005/006 -
案例005/006
# -*- coding:utf-8 -*-
# date: 2019-05-30
# 使用pymysql连接数据库
# 条件查询
from pymysql import *
class JD(object):
def __init__(self):
# 创建Connection连接
self.conn = connect(
host='localhost', port=3306, database='jing_dong',
user='root', password='xxxxxxxx', charset='utf8'
)
# 获得Cursor对象,该对象用于执行sql语句
self.cursor = self.conn.cursor()
def __del__(self):
# 关闭Cursor对象
self.cursor.close()
# 关闭Connection对象
self.conn.close()
print("-----查询完成,数据库连接已关闭-----")
def execute_sql(self, sql):
# 执行sql语句的方法
# 执行sql语句,读取出sql语句选择的table中的数据
self.cursor.execute(sql)
# 取出上面已经选择的数据
for temp in self.cursor.fetchall():
print(temp)
def show_all_items(self):
'''显示所有的商品'''
sql = "select * from goods;"
self.execute_sql(sql)
def show_cates(self):
'''显示所有商品分类'''
sql = "select name from goods_cates;"
self.execute_sql(sql)
def show_brands(self):
'''显示所有品牌分类'''
sql = "select name from goods_brands;"
self.execute_sql(sql)
def add_brands(self):
'''增加商品品牌'''
item_name = input("输入新商品品牌的名称:")
sql = """insert into goods_brands(name) values('%s')""" % item_name
self.cursor.execute(sql)
# 执行提交上面sql语句的结果到数据库
self.conn.commit()
def get_info_by_name(self):
'''查询商品的信息'''
find_name = input("请输入要查询的商品的名字:")
# sql = """select * from goods where name='%s';""" % find_name
# print("-------------->%s<--------------" % sql)
# self.execute_sql(sql)
# 参数化sql语句,防止sql注入问题
sql = "select * from goods where name=%s"
self.cursor.execute(sql, [find_name])
for temp in self.cursor.fetchall():
print(temp)
# 静态方法,类内部调用,不需要传入参数
@staticmethod
def print_menu():
print("--------京东--------")
print("1: 所有的商品")
print("2: 所有的商品分类")
print("3: 所有的商品品牌分类")
print("4: 添加一个商品品牌分类")
print("5: 根据名字查询商品的信息")
return input("请输入功能所对应的序号: ")
def run(self):
while True:
num = self.print_menu()
if num == "1":
# 查询所有的商品
self.show_all_items()
elif num == "2":
# 查询所有的商品分类
self.show_cates()
elif num == "3":
# 查询所有的商品品牌分类
self.show_brands()
elif num == "4":
# 添加一个商品分类
self.add_brands()
elif num == "5":
# 查询商品的信息
self.get_info_by_name()
else:
print("输入序号有误,请重新输入")
def main():
# 1.创建一个京东商城对象
jd = JD()
# 2.调用这个对象的run方法,让其运行
jd.run()
if __name__ == '__main__':
main()
# sql注入问题:
# 上面查询商品的sql语句如下:
# sql = """select * from goods where name='%s';""" % find_name
# name后面是一个双单引号''
# 如果我们输入的商品名字是,请输入要查询的商品的名字:' or 1=1 or '
# 结果就是:select * from goods where name='' or 1=1 or '';
# 由于使用的是or只要满足一个即可,1=1满足,这样就会查询出所有的商品
# 参数化之后
# 就不会存在sql注入问题了