数据库编程
1.数据库基本操作:
# 导入模块
from pymysql import *
# 创建连接
conn = connect(host='localhost', port=3306, user='root', passwd='zsh123', db='jing_dong', charset='utf8')
# 创建游标对象
cs = conn.cursor()
# 执行sql语句
sql = 'select * from goods;'
cs.execute(sql)
# cs.fetchone()获取一条数据
print(cs.fetchone())
# cs.fetchall()获取全部数据
content = cs.fetchall()
for i in content:
print(i)
# 关闭游标对象和连接
cs.close()
conn.close()
如果使用增删改等修改数据库的操作,需要添加一条conn.commit()提交才可事务才可修改事务,如果放弃修改,则使用conn.rollback()回滚操作。
2.sql防注入:
使用cursor.execute(sql, param)传递参数,param代表一个列表或者元组,可依次传入sql中的%s占位符中,系统自动拼接字符串,防止’ or 1 or ‘等特殊字符串对sql语句进行转义。
sql = ‘…. where name=’%s’ % name
如果name为’ or 1 or ’ 搜索结果为name=’ ’ or 1 or ’ ‘,sql语句被转义,结果永真,会输出数据库全部数据
3.案例-京东商城:
# 导入模块
from pymysql import *
class JD:
# 初始化信息
def __init__(self):
# 创建连接信息
self.conn = connect(host='localhost', port=3306, user='root',
passwd='zsh123', db='jing_dong', charset='utf8')
# 创建游标对象
self.cs = self.conn.cursor()
def __del__(self):
self.cs.close()
self.conn.close()
# 显示方法:传入sql语句,显示执行内容
def show_table(self, sql):
self.cs.execute(sql)
content = self.cs.fetchall()
for i in content:
for j in i:
print(j, end=' ')
print()
# 显示商品表
def show_goods(self):
sql = "select goods.name,goods_cates.name,goods_brands.name,goods.price from" \
" goods inner join goods_cates on goods.cate_id=goods_cates.id inner join" \
" goods_brands on goods.brand_id=goods_brands.id;"
self.show_table(sql)
# 显示种类表
def show_cates(self):
sql = "select * from goods_cates"
self.show_table(sql)
# 显示品牌表
def show_brands(self):
sql = "select * from goods_brands"
self.show_table(sql)
# 查询商品信息
def show_good_info(self):
name = input("请输入要查询的商品信息:")
sql = "select goods.name,goods_cates.name,goods_brands.name,goods.price from" \
" goods inner join goods_cates on goods.cate_id=goods_cates.id inner join" \
" goods_brands on goods.brand_id=goods_brands.id where goods.name like %s;"
# 使用cursor.execute(sql, param)传递参数,param代表一个列表或者元组,可依次
# 传入sql中的%s占位符中,系统自动拼接字符串,防止' or 1 or '等特殊字符串,防注入
# sql = '.... where name='%s' % name 如果name为' or 1 or '
# 搜索结果为name='' or 1 or '',sql语句被转义,结果永真,会输出数据库全部数据
self.cs.execute(sql, ['%' + name + '%'])
content = self.cs.fetchall()
for i in content:
for j in i:
print(j, end=' ')
print()
@staticmethod
def show_menu():
print("\n----------Welcome!----------")
print("-----1.查看所有商品信息------")
print("-----2.查看商品种类信息------")
print("-----3.查看商品品牌信息------")
print("-----4.查询商品详细信息------")
print("-----0.退出商品管理系统------")
print("----------------------------\n")
def run(self):
while True:
JD.show_menu()
num = input("请输入编号:")
if num.isdigit():
if num == '1':
self.show_goods()
elif num == '2':
self.show_cates()
elif num == '3':
self.show_brands()
elif num == '4':
self.show_good_info()
elif num == '0':
exit()
else:
print("输入有误,请重新输入!")
else:
print("请输入数字!")
if __name__ == '__main__':
jd = JD()
jd.run()
执行结果: