使用pymysql来将sql语句嵌套进入python
安装pymysql
pip3 install mysql
https://pypi.org/ pip管理组织 这个网站有所有的python模块
https://mirrors.tuna.tsinghua.edu.cn/help/pypi/ 清华大学开源镜像站
使用操作
1、执行SQL
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import pymysql
# 创建连接
conn = pymysql.
connect
(host=
'127.0.0.1'
, port=3306,
user
=
'root'
, passwd=
'123'
, db=
't1'
)
# 创建游标
cursor
= conn.
cursor
()
# 执行SQL,并返回收影响行数
effect_row =
cursor
.
execute
(
"update hosts set host = '1.1.1.2'"
)
# 执行SQL,并返回受影响行数
#effect_row =
cursor
.
execute
(
"update hosts set host = '1.1.1.2' where nid > %s"
, (1,))
# 执行SQL,并返回受影响行数
#effect_row =
cursor
.executemany(
"insert into hosts(host,color_id)values(%s,%s)"
, [(
"1.1.1.11"
,1),(
"1.1.1.11"
,2)])
# 提交,不然无法保存新建或者修改的数据
conn.
commit
()
# 关闭游标
cursor
.
close
()
# 关闭连接
conn.
close
()
2、获取新创建数据自增ID
1
2
3
4
5
6
7
8
9
10
11
12
13
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import pymysql
conn = pymysql.
connect
(host=
'127.0.0.1'
, port=3306,
user
=
'root'
, passwd=
'123'
, db=
't1'
)
cursor
= conn.
cursor
()
cursor
.executemany(
"insert into hosts(host,color_id)values(%s,%s)"
, [(
"1.1.1.11"
,1),(
"1.1.1.11"
,2)])
conn.
commit
()
cursor
.
close
()
conn.
close
()
# 获取最新自增ID
new_id =
cursor
.lastrowid
3、获取查询数据
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import pymysql
conn = pymysql.
connect
(host=
'127.0.0.1'
, port=3306,
user
=
'root'
, passwd=
'123'
, db=
't1'
)
cursor
= conn.
cursor
()
cursor
.
execute
(
"select * from hosts"
)
# 获取第一行数据
row_1 =
cursor
.fetchone()
# 获取前n行数据
# row_2 =
cursor
.fetchmany(3)
# 获取所有数据
# row_3 =
cursor
.fetchall()
conn.
commit
()
cursor
.
close
()
conn.
close
()
注:在fetch数据时按照顺序进行,可以使用cursor.scroll(num,mode)来移动游标位置,如:
- cursor.scroll(1,mode='relative') # 相对当前位置移动
- cursor.scroll(2,mode='absolute') # 相对绝对位置移动(向下)
- cursor.scroll(-2,mode='absolute') # 相对绝对位置移动(向上)
- 类似于内部使用指针会将所有的数据写入内存 与分页相比 数据量较大时同样会导致宕机
4、fetch数据类型
关于默认获取的数据是元祖类型,如果想要或者字典类型的数据,即:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import pymysql
conn = pymysql.
connect
(host=
'127.0.0.1'
, port=3306,
user
=
'root'
, passwd=
'123'
, db=
't1'
)
# 游标设置为字典类型
cursor
= conn.
cursor
(
cursor
=pymysql.cursors.DictCursor)
r =
cursor
.
execute
(
"call p1()"
)
result =
cursor
.fetchone()
conn.
commit
()
cursor
.
close
()
conn.
close
()
#字符串拼接sql(禁止使用会产生sql注入问题)
inp = input('请输入班级:')
sql = 'instert into class(caption) values(%s)'
sql = sql % (inp,)
r = cusor.execute(sql)
print(r)
#参数传递
inp = input('请输入班级:')
r = cursor.execute('instert into class(caption) values(%s)',inp)
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 [1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.
eg:
此时--将后面的password注释 or 1=1 恒成立