数据库:pymysql模块
Posted 芳姐
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了数据库:pymysql模块相关的知识,希望对你有一定的参考价值。
一 介绍
之前我们都是通过mysql自带的命令行客户端工具mysql来操作数据库,那如何在python程序中操作数据库呢?这就用到了pymysql模块,该模块本质就是一个套接字客户端软件,使用前需要事先安装
pip3 install pymysql
二 链接、执行sql、关闭(游标)
import pymysql
user=input(\'用户名: \').strip()
pwd=input(\'密码: \').strip()
#链接
conn=pymysql.connect(host=\'localhost\',user=\'root\',password=\'123\',database=\'egon\',charset=\'utf8\')
#游标
cursor=conn.cursor() #执行完毕返回的结果集默认以元组显示
#cursor=conn.cursor(cursor=pymysql.cursors.DictCursor)
#执行sql语句
sql=\'select * from userinfo where name="%s" and password="%s"\' %(user,pwd) #注意%s需要加引号
print(sql)
res=cursor.execute(sql) #执行sql语句,返回sql查询成功的记录数目
print(res)
cursor.close()
conn.close()
if res:
print(\'登录成功\')
else:
print(\'登录失败\')
三 execute()之sql注入
根本原理:就是根据程序的字符串拼接name=‘%s’,我们输入一个XXX‘--haha’,用我们输入的XXX加\'在程序中拼接成一个判断条件name=\'XXX\'--haha\'
最后那一个空格,在一条sql语句中如果遇到select * from t1 where id>3 -- and name=\'egon\';则--之后的条件被注释掉了 # 1、sql注入之:用户存在,绕过密码 egon\' -- 任意字符 # 2、sql注入之:用户不存在,绕过用户和密码 xxx\' or 1=1 -- 任意字符
用户名存在,直接登录成功
用户名不存在,绕过用户和密码
解决方法:
# 原来是我们对sql进行字符串拼接 # sql="select * from userinfo where name=\'%s\' and password=\'%s\'" %(user,pwd) # print(sql) # res=cursor.execute(sql) #改写为(execute帮我们做字符串拼接,我们无需且一定不能再为%s加引号了) sql = "select * from userinfo where name =%s and password=%s" # 注意%s需要去掉引号, # 因为pymysql 会自动为我们加上 res = cursor.execute(sql,[user,pwd]) # pymysql模块自动帮我们解决sql注入的问题 print(res)
四 增、删、改:conn.commit()
import pymysql
# 链接
conn = pymysql.connect(host=\'192.168.159.128\', user=\'root\', password=\'pertest\', database=\'luffycity\', charset=\'utf8\')
# 游标
cursor = conn.cursor()
# 执行sql语句
# 新增
# part1
# sql = "insert into userinfo(name,password) values (\'mike\',\'123\');"
# res = cursor.execute(sql) # 执行sql语句,返回sql影响成功的行数
# print(res)
# par2
sql = "insert into userinfo(name,password) values (%s,%s);"
res = cursor.execute(sql, ("mike2", "123")) # 执行sql语句,返回sql影响成功的行数
print(res)
# par3,插入多行
sql = "insert into userinfo(name,password) values (%s,%s);"
res = cursor.executemany(sql, [("mike2", "123"), ("mike3", "123"), ("mike4", "123")]) # 执行sql语句,返回sql影响成功的行数
print(res)
conn.commit() # 提交后才发现表中插入记录成功
cursor.close()
conn.close()
五 查:fetchone,fetchmany,fetchall
import pymysql # 链接 conn = pymysql.connect(host=\'192.168.159.128\', user=\'root\', password=\'pertest\', database=\'luffycity\', charset=\'utf8\') # 游标 cursor = conn.cursor() # 执行sql语句 sql = \'select * from userinfo;\' rows = cursor.execute(sql) # 执行sql语句,返回sql影响成功的行数rows,将结果放入一个集合,等待被查询 # cursor.scroll(3, mode=\'absolute\') # 相对均对位置移动 # cursor.scroll(3, mode=\'relative\') # 相对当前位置移动 res1 = cursor.fetchone() res2 = cursor.fetchone() res3 = cursor.fetchone() res4 = cursor.fetchmany(2) res5 = cursor.fetchall() print(res1) print(res2) print(res3) print(res4) print(res5) print(\'%s row in set(0.00 sec)\' % rows) conn.commit() cursor.close() conn.close()
五 获取插入的最后一条数据的自增ID
import pymysql
# 链接
conn = pymysql.connect(host=\'192.168.159.128\', user=\'root\', password=\'pertest\', database=\'luffycity\', charset=\'utf8\')
# 游标
cursor = conn.cursor()
sql = \'insert into userinfo(name, password) values ("mike6", "123");\'
rows = cursor.execute(sql)
print(cursor.lastrowid) # 在插入语句后查看
conn.commit()
cursor.close()
conn.close()
以上是关于数据库:pymysql模块的主要内容,如果未能解决你的问题,请参考以下文章