mysql基础三(视图触发器函数存储过程事务防注入)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了mysql基础三(视图触发器函数存储过程事务防注入)相关的知识,希望对你有一定的参考价值。

一、视图

视图是一个虚拟表(非真实存在),其本质是【根据SQL语句获取动态的数据集,并为其命名】,用户使用时只需使用【名称】即可获取结果集,并可以将其当作表来使用。

1、创建视图

-格式:CREATE VIEW 视图名称 AS  SQL语句
CREATE VIEW v1 AS 
SELET nid, 
    name
FROM
    A
WHERE
    nid > 4

 2、删除视图

--格式:DROP VIEW 视图名称

DROP VIEW v1

 3、修改视图

-- 格式:ALTER VIEW 视图名称 AS SQL语句

ALTER VIEW v1 AS
SELET A.nid,
    B. NAME
FROM
    A
LEFT JOIN B ON A.id = B.nid
LEFT JOIN C ON A.id = C.nid
WHERE
    A.id > 2
AND C.nid < 5

 4、使用视图

视图的使用和普通表一样,由于视图是虚拟表,所以无法对其真实表进行创建、更新和删除操作,仅做查询用。

select * from v1;

 5、查看视图

SELECT * from information_schema.VIEWS;   

 

二、条件和循环 

1、条件语句

if then\ elseif then\ else\ end if

# if条件语句

delimiter \CREATE PROCEDURE proc_if ()
BEGIN
    
    declare i int default 0;
    if i = 1 THEN
        SELECT 1;
    ELSEIF i = 2 THEN
        SELECT 2;
    ELSE
        SELECT 7;
    END IF;

END\delimiter ;

 2、循环语句

分为三种循环语句:while循环、repeat循环、loop循环

while循环

语法:while 条件 do/end while

delimiter \CREATE PROCEDURE proc_while ()
BEGIN

    DECLARE num INT ;
    SET num = 0 ;
    WHILE num < 10 DO
        SELECT
            num ;
        SET num = num + 1 ;
    END WHILE ;

END\delimiter ;

 

 repeat循环

语法:repeat /end repeat

delimiter \CREATE PROCEDURE proc_repeat ()
BEGIN

    DECLARE i INT ;
    SET i = 0 ;
    repeat
        select i;
        set i = i + 1;
        until i >= 5
    end repeat;

END\delimiter ;

 

loop循环

delimiter \CREATE PROCEDURE proc_loop ()
BEGIN
    
    declare i int default 0;
    loop_label: loop
        select i;
        set i=i+1;
        if i>=5 then
            leave loop_label;
            end if;
    end loop;

END\delimiter ;

 三、触发器

对某个表进行【增/删/改】操作的前后触发一些操作即为触发器,如果希望触发增删改的行为之前或之后做操作时,可以使用触发器,触发器用于自定义用户对表的行进行【增/删/改】前后的行为。

1、创建基本语法

# 插入前
CREATE TRIGGER tri_before_insert_tb1 BEFORE INSERT ON tb1 FOR EACH ROW
BEGIN
    ...
END

# 插入后
CREATE TRIGGER tri_after_insert_tb1 AFTER INSERT ON tb1 FOR EACH ROW
BEGIN
    ...
END

# 删除前
CREATE TRIGGER tri_before_delete_tb1 BEFORE DELETE ON tb1 FOR EACH ROW
BEGIN
    ...
END

# 删除后
CREATE TRIGGER tri_after_delete_tb1 AFTER DELETE ON tb1 FOR EACH ROW
BEGIN
    ...
END

# 更新前
CREATE TRIGGER tri_before_update_tb1 BEFORE UPDATE ON tb1 FOR EACH ROW
BEGIN
    ...
END

# 更新后
CREATE TRIGGER tri_after_update_tb1 AFTER UPDATE ON tb1 FOR EACH ROW
BEGIN
    ...
END

 

特别的:NEW表示即将插入的数据行,OLD表示即将删除的数据行。

技术分享
delimiter //
CREATE TRIGGER tri_before_insert_tb1 BEFORE INSERT ON tb7 FOR EACH ROW
BEGIN

IF NEW. user = qq THEN
    INSERT INTO tb2 (NAME) VALUES (aa);
END IF;
END //
delimiter ;
插入前触发器
技术分享
delimiter //
CREATE TRIGGER tri_after_insert_tb1 AFTER INSERT ON tb7 FOR EACH ROW
BEGIN
    IF NEW. licnese = 666 THEN
        INSERT INTO tb2 (NAME)
        VALUES
            (666),
            (666) ;
    ELSEIF NEW. licnese = 555 THEN
        INSERT INTO tb2 (name)
        VALUES
            (555),
            (555) ;
    END IF;
END//
delimiter ;
插入后触发器 

2、删除触发器

DROP TRIGGER tri_after_insert_tb1;

3、使用触发器

触发器无法由用户直接调用,而由对表的【增/删/改】操作被动触发的。

insert into tb1(num) values(666)

 4、查看触发器

 show triggers FROM 库名\G
SHOW TRIGGERS\G

5、查看触发器创建语句

show create trigger trigger_name\G

6、 触发器的执行顺序

我们建立的数据库一般都是 InnoDB 数据库,其上建立的表是事务性表,也就是事务安全的。这时,若SQL语句或触发器执行失败,mysql 会回滚事务,有:
 
1、如果 BEFORE 触发器执行失败,SQL 无法正确执行。
2、SQL 执行失败时,AFTER 型触发器不会触发。
3、AFTER 类型的触发器执行失败,SQL 会回滚。

 

四、存储过程 

存储过程是一个SQL语句集合,当主动去调用存储过程时,其中内部的SQL语句会按照逻辑执行。

1、创建存储过程

无参数存储过程

-- 创建存储过程

delimiter //  #修改结束符号,为//
create procedure p1()
BEGIN
    select * from t1;
END//
delimiter ;



-- 执行存储过程

call p1()

 对于存储过程,可以接收参数,其参数有三类:

  • in          仅用于传入参数用
  • out        仅用于返回值用
  • inout     既可以传入又可以当作返回值

关于变量设置,对于调用存储过程或者函数时,外部传入参数或者获取参数,需加符号@,例如set @t=1;在本次会话内这些带@的变量都可以被获取到。断开连接后变量失效。

有参数存储过程

-- 创建存储过程
delimiter \create procedure p1(
    in i1 int,
    in i2 int,
    inout i3 int,
    out r1 int
)
BEGIN
    DECLARE temp1 int;
    DECLARE temp2 int default 0; 
    set temp1 = 1;
    set r1 = i1 + i2 + temp1 + temp2;  
    set i3 = i3 + 100;
end\delimiter ;

-- 执行存储过程
SET @t2=3;
CALL p1 (1, 2 ,@t1, @t2);
SELECT @t1,@t2;

 

delimiter //  将结束符号;修改为//
DECLARE  声明变量。如果没有DEFAULT子句,初始值为NULL。用于内部变量申明。
SET      变量赋值。用于内部变量赋值,和传参数时参数赋值。 

2、删除存储过程

drop procedure proc_name;

3、执行存储过程

-- 无参数
call proc_name();

-- 有参数,全in
call proc_name(1,2);

-- 有参数,有in,out,inout
set @t1=3;
call proc_name(1,2,@t1,@t2);
技术分享
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import pymysql

conn = pymysql.connect(host=127.0.0.1, port=3306, user=root, passwd=123, db=t1)
cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)
# 执行存储过程
cursor.callproc(p1, args=(1, 22, 3, 4))
# 获取执行完存储的参数
cursor.execute("select @_p1_0,@_p1_1,@_p1_2,@_p1_3")
result = cursor.fetchall()

conn.commit()
cursor.close()
conn.close()


print(result)
pymysql执行存储过程

 4、查看存储过程

列出所有的存储过程
SHOW  PROCEDURE  STATUS;

 5、查看存储过程生成语句

查看存储过程
SHOW CREATE PROCEDURE 存储过程名\G

五、函数

1、内置函数

MySQL中提供了许多内置函数,例如:

技术分享
CHAR_LENGTH(str)
        返回值为字符串str 的长度,长度的单位为字符。一个多字节字符算作一个单字符。
        对于一个包含五个二字节字符集, LENGTH()返回值为 10, 而CHAR_LENGTH()的返回值为5。

    CONCAT(str1,str2,...)
        字符串拼接
        如有任何一个参数为NULL ,则返回值为 NULL。
    CONCAT_WS(separator,str1,str2,...)
        字符串拼接(自定义连接符)
        CONCAT_WS()不会忽略任何空字符串。 (然而会忽略所有的 NULL)。

    CONV(N,from_base,to_base)
        进制转换
        例如:
            SELECT CONV(a,16,2); 表示将 a 由16进制转换为2进制字符串表示

    FORMAT(X,D)
        将数字X 的格式写为#,###,###.##,以四舍五入的方式保留小数点后 D 位, 并将结果以字符串的形式返回。若  D 为 0, 则返回结果不带有小数点,或不含小数部分。
        例如:
            SELECT FORMAT(12332.1,4); 结果为: 12,332.1000
    INSERT(str,pos,len,newstr)
        在str的指定位置插入字符串
            pos:要替换位置其实位置
            len:替换的长度
            newstr:新字符串
        特别的:
            如果pos超过原字符串长度,则返回原字符串
            如果len超过原字符串长度,则由新字符串完全替换
    INSTR(str,substr)
        返回字符串 str 中子字符串的第一个出现位置。

    LEFT(str,len)
        返回字符串str 从开始的len位置的子序列字符。

    LOWER(str)
        变小写

    UPPER(str)
        变大写

    LTRIM(str)
        返回字符串 str ,其引导空格字符被删除。
    RTRIM(str)
        返回字符串 str ,结尾空格字符被删去。
    SUBSTRING(str,pos,len)
        获取字符串子序列

    LOCATE(substr,str,pos)
        获取子序列索引位置

    REPEAT(str,count)
        返回一个由重复的字符串str 组成的字符串,字符串str的数目等于count 。
        若 count <= 0,则返回一个空字符串。
        若str 或 countNULL,则返回 NULLREPLACE(str,from_str,to_str)
        返回字符串str 以及所有被字符串to_str替代的字符串from_str 。
    REVERSE(str)
        返回字符串 str ,顺序和字符顺序相反。
    RIGHT(str,len)
        从字符串str 开始,返回从后边开始len个字符组成的子序列

    SPACE(N)
        返回一个由N空格组成的字符串。

    SUBSTRING(str,pos) , SUBSTRING(str FROM pos) SUBSTRING(str,pos,len) , SUBSTRING(str FROM pos FOR len)
        不带有len 参数的格式从字符串str返回一个子字符串,起始于位置 pos。带有len参数的格式从字符串str返回一个长度同len字符相同的子字符串,起始于位置 pos。 使用 FROM的格式为标准 SQL 语法。也可能对pos使用一个负值。假若这样,则子字符串的位置起始于字符串结尾的pos 字符,而不是字符串的开头位置。在以下格式的函数中可以对pos 使用一个负值。

        mysql> SELECT SUBSTRING(Quadratically,5);
            -> ratically

        mysql> SELECT SUBSTRING(foobarbar FROM 4);
            -> barbar

        mysql> SELECT SUBSTRING(Quadratically,5,6);
            -> ratica

        mysql> SELECT SUBSTRING(Sakila, -3);
            -> ila

        mysql> SELECT SUBSTRING(Sakila, -5, 3);
            -> aki

        mysql> SELECT SUBSTRING(Sakila FROM -4 FOR 2);
            -> ki

    TRIM([{BOTH | LEADING | TRAILING} [remstr] FROM] str) TRIM(remstr FROM] str)
        返回字符串 str , 其中所有remstr 前缀和/或后缀都已被删除。若分类符BOTH、LEADIN或TRAILING中没有一个是给定的,则假设为BOTH 。 remstr 为可选项,在未指定情况下,可删除空格。

        mysql> SELECT TRIM(  bar   );
                -> bar

        mysql> SELECT TRIM(LEADING x FROM xxxbarxxx);
                -> barxxx

        mysql> SELECT TRIM(BOTH x FROM xxxbarxxx);
                -> bar

        mysql> SELECT TRIM(TRAILING xyz FROM barxxyz);
                -> barx
mysql内置函数
更多函数:猛击这里 OR 猛击这里

2、自定义函数

delimiter \create function f1(
    i1 int,
    i2 int)
returns int
BEGIN
    declare num int;
    set num = i1 + i2;
    return(num);
END \delimiter ; 

3、删除函数

drop function func_name;

4、执行函数

# 获取返回值

  set @i1=1;
  set @i2=2;
  select f1(@i1,@i2) into @j;
  SELECT @j;


# 在查询中使用,对列的值函数计算后返回。
select f1(11,nid) ,name from tb2;

5、查看函数

show function status;

 6、查看函数构建语句

show create function func_name\G 

 

六、事务

事务用于将某些操作的多个SQL作为原子性操作,一旦有某一个出现错误,即可回滚到原来的状态,从而保证数据库数据完整性。

定义存储过程:

delimiter \drop PROCEDURE if EXISTS p1;
create PROCEDURE p1(
    OUT p_return_code tinyint
)
BEGIN 
  DECLARE exit handler for sqlexception     -- 定义错误处理
  BEGIN 
    -- ERROR 
    set p_return_code = 1; 
    rollback; -- 回滚
  END; 
 
  DECLARE exit handler for sqlwarning     -- 定义告警处理
  BEGIN 
    -- WARNING 
    set p_return_code = 2; 
    rollback; 
  END; 
 
  START TRANSACTION; -- 开始事务,使下面的多条SQL语句操作变成原子性操作
        UPDATE tb7 set licnese=(licnese-5) WHERE nid=21; 
        UPDATE tb7 set licnese=(licnese+5) WHERE nid=22; 

  COMMIT; 
 
  -- SUCCESS 
  set p_return_code = 0; 
 
END\delimiter ;

 

 执行存储过程:
call p1(@p);
SELECT @p;

 

七、SQL防注入之动态SQL

在高级语言的DB API不提供防注入的参数化查询功能时,可以使用这种方法来防止SQL注入。在pymysql中的调用点这里

定义存储过程:

delimiter \DROP PROCEDURE IF EXISTS proc_sql \CREATE PROCEDURE proc_sql (
    in nid1 INT,
    in nid2 INT,
    in callsql VARCHAR(255)
    )
BEGIN
    set @nid1 = nid1;
    set @nid2 = nid2;
    set @callsql = callsql;
        PREPARE myprod FROM @callsql;
--     PREPARE prod FROM select * from tb2 where nid>? and  nid<?;    传入的值为字符串,?为占位符
--     用@nid1,和@nid2填充占位符
        EXECUTE myprod USING @nid1,@nid2;
    DEALLOCATE prepare myprod; 

END\delimiter ;
技术分享
set @nid1=12;
set @nid2=15;
set @callsql = select * from tb7 where nid>? and nid<?;
CALL proc_sql(@nid1,@nid2,@callsql)
调用存储过程

 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 

以上是关于mysql基础三(视图触发器函数存储过程事务防注入)的主要内容,如果未能解决你的问题,请参考以下文章

mysql之视图触发器事务存储过程函数

mysql数据库之 存储引擎事务视图触发器存储过程函数流程控制

MySQL之视图触发器事务存储过程函数

MySQL之视图触发器事务存储过程函数 流程控制

MySQL 系列你不知道的 视图触发器存储过程函数事务索引语句

Mysql-自带的一些功能,基本用法(视图,触发器,事务,存储过程,函数,流程控制)