码迷,mamicode.com
首页 > 数据库 > 详细

数据库:pymysql模块

时间:2018-07-22 12:00:20      阅读:244      评论:0      收藏:0      [点我收藏+]

标签:通过   --   close   art   相对   user   rowid   客户端   base   

 

一 介绍

之前我们都是通过MySQL自带的命令行客户端工具mysql来操作数据库,那如何在python程序中操作数据库呢?这就用到了pymysql模块,该模块本质就是一个套接字客户端软件,使用前需要事先安装

pip3 install pymysql

  

链接、执行sql、关闭(游标)

import pymysql
user=input(‘用户名: ‘).strip()
pwd=input(‘密码: ‘).strip()

#链接
conn=pymysql.connect(host=‘localhost‘,user=‘root‘,password=‘123‘,database=‘egon‘,charset=‘utf8‘)
#游标
cursor=conn.cursor() #执行完毕返回的结果集默认以元组显示
#cursor=conn.cursor(cursor=pymysql.cursors.DictCursor)


#执行sql语句
sql=‘select * from userinfo where name="%s" and password="%s"‘ %(user,pwd) #注意%s需要加引号
print(sql)
res=cursor.execute(sql) #执行sql语句,返回sql查询成功的记录数目
print(res)

cursor.close()
conn.close()

if res:
    print(‘登录成功‘)
else:
    print(‘登录失败‘)

  

三 execute()之sql注入

根本原理:就是根据程序的字符串拼接name=‘%s’,我们输入一个XXX‘--haha’,用我们输入的XXX加‘在程序中拼接成一个判断条件name=‘XXX‘--haha‘

最后那一个空格,在一条sql语句中如果遇到select * from t1 where id>3 -- and name=‘egon‘;则--之后的条件被注释掉了


# 1、sql注入之:用户存在,绕过密码
egon‘   -- 任意字符



# 2、sql注入之:用户不存在,绕过用户和密码
xxx‘ or 1=1 -- 任意字符

  

用户名存在,直接登录成功

技术分享图片

 

 用户名不存在,绕过用户和密码

技术分享图片

 

解决方法:

# 原来是我们对sql进行字符串拼接
# sql="select * from userinfo where name=‘%s‘ and password=‘%s‘" %(user,pwd)
# print(sql)
# res=cursor.execute(sql)


#改写为(execute帮我们做字符串拼接,我们无需且一定不能再为%s加引号了)
sql = "select * from userinfo where name =%s and password=%s"   # 注意%s需要去掉引号,
# 因为pymysql 会自动为我们加上
res = cursor.execute(sql,[user,pwd])    # pymysql模块自动帮我们解决sql注入的问题
print(res)

  

四 增、删、改:conn.commit()

import pymysql

# 链接
conn = pymysql.connect(host=‘192.168.159.128‘, user=‘root‘, password=‘pertest‘, database=‘luffycity‘, charset=‘utf8‘)

# 游标
cursor = conn.cursor()

# 执行sql语句
# 新增
# part1
# sql = "insert into userinfo(name,password) values (‘mike‘,‘123‘);"
# res = cursor.execute(sql)   # 执行sql语句,返回sql影响成功的行数
# print(res)

# par2
sql = "insert into userinfo(name,password) values (%s,%s);"
res = cursor.execute(sql, ("mike2", "123"))   # 执行sql语句,返回sql影响成功的行数
print(res)

# par3,插入多行
sql = "insert into userinfo(name,password) values (%s,%s);"
res = cursor.executemany(sql, [("mike2", "123"), ("mike3", "123"), ("mike4", "123")])   # 执行sql语句,返回sql影响成功的行数
print(res)

conn.commit()   # 提交后才发现表中插入记录成功
cursor.close()
conn.close()

  

五 查:fetchone,fetchmany,fetchall

技术分享图片

 

 

import pymysql

# 链接
conn = pymysql.connect(host=‘192.168.159.128‘, user=‘root‘, password=‘pertest‘, database=‘luffycity‘, charset=‘utf8‘)

# 游标
cursor = conn.cursor()

# 执行sql语句
sql = ‘select * from userinfo;‘
rows = cursor.execute(sql)  # 执行sql语句,返回sql影响成功的行数rows,将结果放入一个集合,等待被查询

# cursor.scroll(3, mode=‘absolute‘)   # 相对均对位置移动
# cursor.scroll(3, mode=‘relative‘)   # 相对当前位置移动

res1 = cursor.fetchone()
res2 = cursor.fetchone()
res3 = cursor.fetchone()
res4 = cursor.fetchmany(2)
res5 = cursor.fetchall()
print(res1)
print(res2)
print(res3)
print(res4)
print(res5)
print(‘%s row in set(0.00 sec)‘ % rows)

conn.commit()
cursor.close()
conn.close()

  

五 获取插入的最后一条数据的自增ID

import pymysql

# 链接
conn = pymysql.connect(host=‘192.168.159.128‘, user=‘root‘, password=‘pertest‘, database=‘luffycity‘, charset=‘utf8‘)

# 游标
cursor = conn.cursor()

sql = ‘insert into userinfo(name, password) values ("mike6", "123");‘
rows = cursor.execute(sql)
print(cursor.lastrowid)     # 在插入语句后查看

conn.commit()

cursor.close()
conn.close()

  

数据库:pymysql模块

标签:通过   --   close   art   相对   user   rowid   客户端   base   

原文地址:https://www.cnblogs.com/mike-liu/p/9348498.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!