mysql 参数化 c_MySQL(16):参数化、封装

最新推荐文章于 2024-03-26 10:43:23 发布
最新推荐文章于 2024-03-26 10:43:23 发布
阅读量255 收藏
点赞数
文章标签: mysql 参数化 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36058303/article/details/113595822
版权

1.sql语句参数化

创建testInsertParam.py文件,向学生表中插入一条数据#encoding=utf-8

import pymysql

try:

conn=pymysql.connect(host='localhost',port=3306,db='test1',user='root',passwd='mysql',charset='utf8')

cs1=conn.cursor()

students_n=input("请输入学生姓名:")

params=[students_n]    #将输入的要操作的值放入列表中

count=cs1.execute('insert into students(sname) values(%s)',params)

#不管values对应的值是什么类型,都用%s占位符表示

print(count)

conn.commit()

cs1.close()

conn.close()

except Exception as e:

print(e.message)

2.封装

观察前面的文件发现,除了sql语句及参数不同,其它语句都是一样的。为了方便,我们可以创建MysqlHelper.py文件,定义类,将这些重复性语句进行封装。#encoding=utf8

import pymysql

class MysqlHelper():

#定义初始化函数

def __init__(self,host,port,db,user,passwd,charset='utf8'):

self.host=host

self.port=port

self.db=db

self.user=user

self.passwd=passwd

self.charset=charset

#定义连接函数,用于创建连接对象和游标对象

def connect(self):

self.conn=pymysql.connect(host=self.host,port=self.port,db=self.db,user=self.user,passwd=self.passwd,charset=self.charset)

self.cursor=self.conn.cursor()

#定影关闭函数,用于关闭连接对象和游标对象

def close(self):

self.cursor.close()

self.conn.close()

#获取一条查询数据

def get_one(self,sql,params=()):

result=None

try:

self.connect()

self.cursor.execute(sql, params)

result = self.cursor.fetchone()

self.close()

#此处的close()是调用了本类中的close()函数

except Exception, e:

print e.message

return result

#获取多条查询数据

def get_all(self,sql,params=()):

list=()

#定义list为空元组

try:

self.connect()

self.cursor.execute(sql,params)

list=self.cursor.fetchall()

self.close()

except Exception,e:

print e.message

return list

#定义编辑函数,用于对数据库的增删改操作

def __edit(self,sql,params):

count=0

try:

self.connect()

count=self.cursor.execute(sql,params)

self.conn.commit()

self.close()

except Exception,e:

print e.message

return count

def insert(self,sql,params=()):

return self.__edit(sql,params)

def delete(self, sql, params=()):

return self.__edit(sql, params)

def update(self, sql, params=()):

return self.__edit(sql, params)

3.调用封装类完成数据库操作

(1)创建testInsertWrap.py文件,使用封装好的帮助类完成插入操作

#encoding=utf8

from MysqlHelper import *

sql='insert into students(sname,gender) values(%s,%s)'

sname=input("请输入用户名:")

gender=input("请输入性别,1为男,0为女")

params=[sname,bool(gender)]

mysqlHelper=MysqlHelper('localhost',3306,'test1','root','mysql')

count=mysqlHelper.insert(sql,params)

if count==1:

print('ok')

else:

print('error')    (2)创建testGetOneWrap.py文件,使用封装好的帮助类完成查询最新一行数据操作

#encoding=utf8

from MysqlHelper import *

sql='select sname,gender from students order by id desc'

helper=MysqlHelper('localhost',3306,'test1','root','mysql')

one=helper.get_one(sql)

print(one)

遇虹ZHU
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql 参数_安全 -- mysql参数查询,防止Mysql注入
weixin_39828847的博客
01-18 639
参数查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数(Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击(SQL Injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数查询,会让程序更不好维护,或者在实现部份功能上会非常不...
mysql 参数_MySQL之sql参数
weixin_30314045的博客
01-18 1602
奋斗的路上,时间总是过得很快,目前的困难和麻烦是很多,但是只要不忘初心,脚踏实地一步一步的朝着目标前进,最后的结局交给时间来定夺。周末了,我们来说说一下,sql语句的参数问题,为了避免sql注入的问题,我们把sql语句进行参数,来增加数据库的安全性。词穷,先看看code吧!from MySQLdb import *'''sql数据参数就是为了防止sql注入的'''#连接数据库coon =...
MySQL如何使用参数查询?
最新发布
长风破浪会有时的博客
03-26 443
参数查询是一种编写数据库查询的方法,它可以帮助我们更安全地获取数据。就像是我们用一个特殊的盒子(参数)来装我们要查询的信息,然后把这个盒子交给数据库去查找。这样,数据库就只知道盒子里的内容,而不知道其他任何可能有害的信息。
Mysql参数操作
03-27 118
packagefuncs; importjava.sql.Connection; importjava.sql.DriverManager; importjava.sql.ResultSet; importjava.sql.SQLException; importjava.sql...
c mysql 参数查询_安全 -- mysql参数查询,防止Mysql注入
weixin_34561373的博客
01-26 247
参数查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数(Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击(SQL Injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数查询,会让程序更不好维护,或者在实现部份功能上会非常不...
blog_nodejs_mysql:nodejs 和 mysql 的博客
05-31
blog_nodejs_mysql "The blog for nodejs and mysql." ...2、数据库初始操作已经封装成模块(dbConn),引用后可直接操作。启动项目时,后台会有输出,如果数据库连接成功会返回类似“ok,ID is:”的消息,如
c++ mysql数据库操作api接口的封装
12-14
故api封装之后有如下几个关键的接口: 1:bool connect(); //连接数据库,初始数据库连接等 2:bool prepare(const std::string &query);//预处理 3:template void bindValue(int pos, const T &value);//给...
MySQL从基础到精通视频教程.zip
06-07
目录网盘文件永久链接 1.MySQL基础 视频 01-简介_recv 02-ER模型、三范式_recv 03-完整性_recv 04-图形界面操作_recv 05-逻辑删除_recv 06-创建表_recv ...03-参数 04-查询 05-封装 06-用户登录 07-总结
php mysql数据库操作类(实例讲解)
12-20
$conn在对象实例的时候,由构造函数处理传入的参数后返回一个资源型的连接句柄。而后即可通过调用该实例的对象的相应方法对数据库进行增删查改的操作。 talk less and show code: <?php /** *以下代码用于...
mysql参数sql语句_mybatis的sql参数查询
weixin_39716510的博客
02-08 819
我们使用jdbc操作数据库的时候,都习惯性地使用参数的sql与数据库交互。因为参数的sql有两大有点,其一,防止sql注入;其二,提高sql的执行性能(同一个connection共用一个的sql编译结果)。下面我们就通过mybatis来分析一下参数sql的过程,以及和非参数sql的不同。注意:①本次使用wireshark来监听网卡的请求,测试过程中,如果使用的是本地的mysql的话,jav...
mysql in 参数_Mysql 参数查询 in 和 like
weixin_36392230的博客
01-18 447
背景:为了防范 SQL 注入攻击, 在查询 mysql 的时候, 我们会选择参数查询. 但是, 有些情况比较特别, 传入的参数需要特别处理才可以传入, 常见的就是 in 和 like 的场景.1 模糊查询 likelogin = "%" + login + "%"db.query(`select * from test where login like ? or id like ?`, lo...
c mysql 参数查询,Mysql 参数查询 in 和 like
weixin_35034072的博客
03-18 336
背景:为了防范 SQL 注入攻击, 在查询 mysql 的时候, 我们会选择参数查询. 但是, 有些情况比较特别, 传入的参数需要特别处理才可以传入, 常见的就是 in 和 like 的场景.1 模糊查询 likelogin = "%" + login + "%"db.query(`select * from test where login like ? or id like ?`, logi...
mysql sql语句 参数_参数SQL语句
weixin_28686463的博客
01-27 1793
在刚弄好登录的时候,姐夫帮忙看了后,提醒我有漏洞,我也想起了以前老师也讲过的SQL注入,例如string sql = string.Format("SELECT COUNT(*) FROM demoUsers WHERE UserName='{0}' AND UserPassword = '{1}'",textBox1.Text.Trim(), textBox2.Text.Trim());那么可以...
MySQL参数
weixin_30580943的博客
11-09 280
C#在操作数据库的过程中,时常会将值参数,赋给命令执行对象. C#操作一般数据库的参数符号都是"@",如:insert into user values(@username,@userpass). 但操作MySQL却有不用,参数符号变成了"?",如:insert into user values(?username,?userpass); 转载于:https://www.cnblogs....
mysql sql语句 参数_MySQL存储过程准备语句(动态SQL)参数
weixin_39990029的博客
02-26 357
我正在尝试编写一个MySQL搜索函数来构建动态sql值并通过预准备语句执行它.显然我想通过参数传递用户输入(搜索词)以确保安全性,但我无法弄清楚如何将一个参数匹配到多个?查询中的标记.可能最能表明我的意思:CREATE DEFINER=`admin`@`localhost` PROCEDURE `WEBSITE_mainSearch`(IN searchWordIn VARCHAR(128))BE...
def modify_fonts_upd(question): # 查询出数据库中需要修改的zi try: mydb = dbUtil() # 查询所有错误成语和对应的正确成语 mycursor = mydb.cursor() mycursor.execute("select chgfont,modifont from ai_modify_fonts where status =1") result = mycursor.fetchall() # 将结果转为字典 replace_dict = dict(result) except Exception as e: message = {"status": "succeed", "content": "添加失败"} return jsonify(message) for wrong_word, correct_word in replace_dict.items(): question = question.replace(wrong_word, correct_word) return question
06-07
这段代码可以改进的地方有: 1. 数据库连接应该使用上下文管理器,以确保在使用完后及时关闭连接。 2. 应该对数据库查询结果进行错误处理,以确保在查询出错时可以及时发现问题。 3. 应该将数据库查询操作封装在一个函数中,便于复用和维护。 4. 应该使用参数查询,以防止 SQL 注入攻击。 5. 可以考虑使用缓存来提高查询效率。 下面是优后的代码: ``` from contextlib import closing import mysql.connector from mysql.connector import errorcode def get_replace_dict(): """查询所有需要修改的字体""" try: config = { 'user': 'root', 'password': '123456', 'host': 'localhost', 'database': 'test' } with closing(mysql.connector.connect(**config)) as cnx: with closing(cnx.cursor()) as cursor: query = "SELECT chgfont, modifont FROM ai_modify_fonts WHERE status = 1" cursor.execute(query) return dict(cursor.fetchall()) except mysql.connector.Error as e: if e.errno == errorcode.ER_ACCESS_DENIED_ERROR: print("用户名或密码错误") elif e.errno == errorcode.ER_BAD_DB_ERROR: print("数据库不存在") else: print("连接数据库失败:", e) def modify_fonts_upd(question): """替换需要修改的字体""" replace_dict = get_replace_dict() for wrong_word, correct_word in replace_dict.items(): question = question.replace(wrong_word, correct_word) return question ``` 这样的代码更加健壮和易于维护。同时,为了进一步提高效率,可以考虑使用缓存来避免每次查询都要访问数据库的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值