pymysql模块
Posted 混世妖精
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了pymysql模块相关的知识,希望对你有一定的参考价值。
一 介绍
之前我们都是通过mysql自带的命令行客户端工具mysql来操作数据库,那如何在python程序中操作数据库呢?这就用到了pymysql模块,该模块本质就是一个套接字客户端软件,使用前需要事先安装
pip3 install pymysql
二 链接、执行sql、关闭(游标)
import pymysql
user=input(\'用户名: \').strip()
pwd=input(\'密码: \').strip()
#链接
conn=pymysql.connect(host=\'localhost\',port=3306, user=\'root\',password=\'\',database=\'db5\',charset=\'utf8\')
#游标
cursor=conn.cursor() #执行完毕返回的结果集默认以元组显示
#cursor=conn.cursor(cursor=pymysql.cursors.DictCursor) # 以字典形式显示,有字段名
#执行sql语句
sql=\'select * from userinfo where username="%s" and password="%s"\' %(user,pwd) #注意%s需要加引号
print(sql)
res=cursor.execute(sql) #执行sql语句,返回sql查询成功的记录数目
print(res)
cursor.close()
conn.close()
if res:
print(\'登录成功\')
else:
print(\'登录失败\')
三 execute()之sql注入
注意:符号--会注释掉它之后的sql,正确的语法:--后至少有一个任意字符
根本原理:就根据程序的字符串拼接name=\'%s\',我们输入一个xxx\' -- haha,用我们输入的xxx加\'在程序中拼接成一个判断条件name=\'xxx\' -- haha\'
最后那一个空格,在一条sql语句中如果遇到select * from t1 where id > 3 -- and name=\'egon\';则--之后的条件被注释掉了
#1、sql注入之:用户存在,绕过密码
egon\' -- 任意字符
#2、sql注入之:用户不存在,绕过用户与密码
xxx\' or 1=1 -- 任意字符
解决方法:
# 原来是我们对sql进行字符串拼接
# sql="select * from userinfo where username=\'%s\' and password=\'%s\'" %(user,pwd)
# print(sql)
# res=cursor.execute(sql)
#改写为(execute帮我们做字符串拼接,我们无需且一定不能再为%s加引号了)
sql="select * from userinfo where username=%s and password=%s" #!!!注意%s需要去掉引号,因为pymysql会自动为我们加上
res=cursor.execute(sql,[user,pwd]) #pymysql模块自动帮我们解决sql注入的问题,只要我们按照pymysql的规矩来。
# pip3 install pymysql
import pymysql
user = input(\'用户名: \').strip()
pwd = input(\'密码: \').strip()
# 链接
conn = pymysql.connect(host=\'localhost\',
port=3306,
user=\'root\',
password=\'\',
database=\'db5\',
charset=\'utf8\')
# 游标
cursor = conn.cursor() # 执行完毕返回的结果集默认以元组显示
# cursor=conn.cursor(cursor = pymysql.cursors.DictCursor)
# 执行sql语句
sql = \'select * from userinfo where username =%s and password=%s\' # 注意%s需要加引号
# print(sql)
rows = cursor.execute(sql, (user, pwd)) # 执行sql语句,返回sql查询成功的记录数目
# print(rows)
cursor.close()
conn.close()
if rows:
print(\'登录成功\')
else:
print(\'登录失败\')
四 增、删、改:conn.commit()
# 增删改
import pymysql
# 建立链接
conn = pymysql.connect(host=\'localhost\',
port=3306,
user=\'root\',
password=\'\',
database=\'db5\',
charset=\'utf8\')
# 游标
cursor = conn.cursor() # 执行完毕返回的结果集默认以元组显示
# 执行sql语句
# 增删改
sql = \'insert userinfo(username,password) values(%s,%s)\'
rows = cursor.execute(sql, ("jack", \'789\'))
# rows = cursor.executemany(sql, [("lucy", "123"), ("Job", "abc"), ("Lily", "asd")]) # 插入多条数据
conn.commit() # 提交数据
# 关闭游标、连接
cursor.close()
conn.close()
五 查:fetchone,fetchmany,fetchall
import pymysql
# 建立链接
conn = pymysql.connect(host=\'localhost\',
port=3306,
user=\'root\',
password=\'\',
database=\'db5\',
charset=\'utf8\')
# 游标
# cursor = conn.cursor() # 执行完毕返回的结果集默认以元组显示
cursor = conn.cursor(pymysql.cursors.DictCursor) # 执行完毕返回的结果集默认以字典形式显示
# 执行sql语句
# 查询
rows = cursor.execute(\'select * from userinfo\')
# print(cursor.fetchone()) # 一次取一条结果 (取完为none)
# print(cursor.fetchmany(2)) # 可以规定一次取几个
# print(cursor.fetchall()) # 取出所有
# 移动游标
cursor.scroll(3, mode="absolute") # 绝对位置移动
cursor.scroll(3, mode="relative") # 相对位置移动
conn.commit() # 提交数据
# 关闭游标、连接
cursor.close()
conn.close()
五 获取插入的最后一条数据的自增ID
# 自增ID 获取插入的最后一条数据
import pymysql
# 建立链接
conn = pymysql.connect(host=\'localhost\',
port=3306,
user=\'root\',
password=\'\',
database=\'db5\',
charset=\'utf8\')
# 游标
cursor = conn.cursor() # 执行完毕返回的结果集默认以元组显示
# 执行sql语句
# 增删改
sql = \'insert userinfo(username,password) values(%s,%s)\'
# rows = cursor.execute(sql, ("jack", \'789\'))
rows = cursor.executemany(sql, [("lucy", "123"), ("Job", "abc"), ("Lily", "asd")]) # 插入多条数据
print(cursor.lastrowid) # 插入之前ID该走到
conn.commit() # 提交数据
# 关闭游标、连接
cursor.close()
conn.close()
3
以上是关于pymysql模块的主要内容,如果未能解决你的问题,请参考以下文章