码迷,mamicode.com
首页 > 数据库 > 详细

pymysql模块

时间:2019-01-06 22:59:52      阅读:250      评论:0      收藏:0      [点我收藏+]

标签:block   字符   NPU   连接   --   cal   none   bsp   python   

一 介绍

之前我们都是通过MySQL自带的命令行客户端工具mysql来操作数据库,那如何在python程序中操作数据库呢?这就用到了pymysql模块,该模块本质就是一个套接字客户端软件,使用前需要事先安装

pip3 install pymysql

二 链接、执行sql、关闭(游标)

技术分享图片

import pymysql
user=input(‘用户名: ‘).strip()
pwd=input(‘密码: ‘).strip()

#链接
conn=pymysql.connect(host=‘localhost‘,port=3306, user=‘root‘,password=‘‘,database=‘db5‘,charset=‘utf8‘)
#游标
cursor=conn.cursor() #执行完毕返回的结果集默认以元组显示
#cursor=conn.cursor(cursor=pymysql.cursors.DictCursor)    # 以字典形式显示,有字段名


#执行sql语句
sql=‘select * from userinfo where username="%s" and password="%s"‘ %(user,pwd) #注意%s需要加引号
print(sql)
res=cursor.execute(sql) #执行sql语句,返回sql查询成功的记录数目
print(res)

cursor.close()
conn.close()

if res:
    print(‘登录成功‘)
else:
    print(‘登录失败‘)

   


三 execute()之sql注入

注意:符号--会注释掉它之后的sql,正确的语法:--后至少有一个任意字符

根本原理:就根据程序的字符串拼接name=‘%s‘,我们输入一个xxx‘ -- haha,用我们输入的xxx加‘在程序中拼接成一个判断条件name=‘xxx‘ -- haha

最后那一个空格,在一条sql语句中如果遇到select * from t1 where id > 3 -- and name=‘egon‘;则--之后的条件被注释掉了

#1、sql注入之:用户存在,绕过密码
egon‘ -- 任意字符

#2、sql注入之:用户不存在,绕过用户与密码
xxx‘ or 1=1 -- 任意字符

技术分享图片

技术分享图片

解决方法:

# 原来是我们对sql进行字符串拼接
# sql="select * from userinfo where username=‘%s‘ and password=‘%s‘" %(user,pwd)
# print(sql)
# res=cursor.execute(sql)

#改写为(execute帮我们做字符串拼接,我们无需且一定不能再为%s加引号了)
sql="select * from userinfo where username=%s and password=%s" #!!!注意%s需要去掉引号,因为pymysql会自动为我们加上
res=cursor.execute(sql,[user,pwd]) #pymysql模块自动帮我们解决sql注入的问题,只要我们按照pymysql的规矩来。
# pip3 install pymysql
import pymysql

user = input(‘用户名: ‘).strip()
pwd = input(‘密码: ‘).strip()

# 链接
conn = pymysql.connect(host=‘localhost‘,
                       port=3306,
                       user=‘root‘,
                       password=‘‘,
                       database=‘db5‘,
                       charset=‘utf8‘)
# 游标
cursor = conn.cursor()     # 执行完毕返回的结果集默认以元组显示
# cursor=conn.cursor(cursor = pymysql.cursors.DictCursor)

# 执行sql语句
sql = ‘select * from userinfo where username =%s and password=%s‘  # 注意%s需要加引号
# print(sql)
rows = cursor.execute(sql, (user, pwd))   # 执行sql语句,返回sql查询成功的记录数目
# print(rows)

cursor.close()
conn.close()

if rows:
    print(‘登录成功‘)
else:
    print(‘登录失败‘)

  


四 增、删、改:conn.commit()

# 增删改
import pymysql

# 建立链接
conn = pymysql.connect(host=‘localhost‘,
                       port=3306,
                       user=‘root‘,
                       password=‘‘,
                       database=‘db5‘,
                       charset=‘utf8‘)
# 游标
cursor = conn.cursor()     # 执行完毕返回的结果集默认以元组显示


# 执行sql语句
# 增删改
sql = ‘insert userinfo(username,password) values(%s,%s)‘
rows = cursor.execute(sql, ("jack", ‘789‘))

# rows = cursor.executemany(sql, [("lucy", "123"), ("Job", "abc"), ("Lily", "asd")])     # 插入多条数据

conn.commit()    # 提交数据

# 关闭游标、连接
cursor.close()
conn.close()

五 查:fetchone,fetchmany,fetchall

import pymysql

# 建立链接
conn = pymysql.connect(host=‘localhost‘,
                       port=3306,
                       user=‘root‘,
                       password=‘‘,
                       database=‘db5‘,
                       charset=‘utf8‘)
# 游标
# cursor = conn.cursor()    # 执行完毕返回的结果集默认以元组显示
cursor = conn.cursor(pymysql.cursors.DictCursor)     # 执行完毕返回的结果集默认以字典形式显示


# 执行sql语句
# 查询
rows = cursor.execute(‘select * from userinfo‘)
# print(cursor.fetchone())   # 一次取一条结果  (取完为none)
# print(cursor.fetchmany(2))    # 可以规定一次取几个
# print(cursor.fetchall())    # 取出所有

# 移动游标
cursor.scroll(3, mode="absolute")   # 绝对位置移动
cursor.scroll(3, mode="relative")    # 相对位置移动

conn.commit()    # 提交数据

# 关闭游标、连接
cursor.close()
conn.close()

 


五 获取插入的最后一条数据的自增ID

技术分享图片

# 自增ID 获取插入的最后一条数据
import pymysql

# 建立链接
conn = pymysql.connect(host=‘localhost‘,
                       port=3306,
                       user=‘root‘,
                       password=‘‘,
                       database=‘db5‘,
                       charset=‘utf8‘)
# 游标
cursor = conn.cursor()     # 执行完毕返回的结果集默认以元组显示


# 执行sql语句
# 增删改
sql = ‘insert userinfo(username,password) values(%s,%s)‘
# rows = cursor.execute(sql, ("jack", ‘789‘))

rows = cursor.executemany(sql, [("lucy", "123"), ("Job", "abc"), ("Lily", "asd")])     # 插入多条数据
print(cursor.lastrowid)   # 插入之前ID该走到

conn.commit()    # 提交数据

# 关闭游标、连接
cursor.close()
conn.close()

  3

 

pymysql模块

标签:block   字符   NPU   连接   --   cal   none   bsp   python   

原文地址:https://www.cnblogs.com/fantsaymwq/p/10230777.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!