Python操作MySQL的模块是MySQLdb。通常默认安装Python编译环境时并没有安装MySQLdb模块,需要手动安装。安装过程这里不再讲了,简单介绍一下用变量传递值的问题。
MySQL支持的变量类型要多于Python的变量类型,传递变量的值的时候,MySQLdb会做自动的解析,自动转换变量类型以适应MySQL数据库。
建立数据库连接:
#coding:utf8
import MySQLdb as mysql
cur = mysql.connect(host = host, db = ouvps,user = username, passwd = passwd, charset = “utf8” )
主要有以下几种传递方式:
一.直接把sql查询语句完整写入字符串
#coding:utf8
import MySQLdb as mysql
cur = mysql.connect(host = host, db = ouvps,user = username, passwd = passwd, charset = “utf8” )
cur.execute(“SELECT * FROM ouvps_title”) #查询ouvps_title表中的内容
二.使用参数替代
tableName = “ouvps_title”
titleID = 35
cur.execute(“SELECT * FROM %s WHERE titleID = %s”, (tableName, titleID))
#注意此处的占位符统统是%s字符串类型,不再区分字符串,数字或者其他类型。另外%s不能加引号,如”%s”这是错误的写法。
变量替代的时候还有一种写法:
cur.execute(“SELECT * FROM %s WHERE titleID = %s” % (tableName, titleID))
前面代码使用了逗号,这里使用了百分号%。两者区别在于变量的解释方式。使用逗号,变量是作为execute的参数传入的,由MySQLdb的内置方法把变量解释成合适的内容。使用百分号%则是用Python编译器对%s执行相应的替代,这种方法是有漏洞的,有些时候(比如包含某些特殊字符的时候)不能正常解析,甚至会有注入漏洞。一般情况下都要把变量作为execute的参数传入。
3.使用字典dict类型传递变量
sql = “INSERT INTO user VALUES(%(username)s, %(password)s, %(email)s)”
value = {“username”:zhangsan,
“password”:123456,
“email”:123456@ouvps.com}
cur.execute(sql, value)
上面这种方法适合字段比较多的时候,变量顺序不会错。