标签:rom 通过 where str 贵的 对象 name 数据 any
mysql数据库创建连接:
1.
import mysql.connector con = mysql.connector.connect( host="localhost",port="3306", user="root",password="123456", database="demo" )
2.
import mysql.connector
config = {
"host":"localhost",
"port":3306,
"user":root,
"password":123456,
"database":demo
}
con = mysql.connector.connect(**config)
游标cursor:
mysql connector里面的游标用来执行SQL语句,而且查询的结果集也会保存在游标之中
cursor = con.cursor() cursor.execute(sql语句)
注入攻击:
由于SQL语言是解释性语言,所以在拼接SQL语句的时候,容易被注入恶意的SQL语句。
id = "1 or 1=1" sql = "delete from t_news where id="+id;
使用SQL的预编译机制抵御注入攻击:
预编译SQL就是数据库提前把SQL语句编译成二进制,这样反复执行同一条SQL语句的效率就会提升。
SQL语句编译的过程中,关键字已经被解析过了,所以向编译后的SQL语句传入参数,都被当做字符串处理,数据库不会解析其中注入的SQL语句
id = "1 or 1=1" sql = "delete from t_news where id=%s";#这样一来传入的id就只是一个字符串,不会被预解析和编译了
cursor.execute(sql,id);
SQL connector的异常处理:
import mysql.connector try: con = mysql.connector.connect( host="localhost", port=3306, user="root", password="123456", database="demo" ) con.start_transaction() cursor=con.cursor() sql="insert into t_emp(empno,ename,job,mgr,hiredate,sal,comm,deptno)" "value(%s,%s,%s,%s,%s,%s,%s,%s)" cursor.execute(sql,(9600,"CIA","SALEMAN",None,"1985-12-1",2500,None,10)) con.commit() except Exception as e: if "con" in dir(): con.rollback() print(e) finally: if "con" in dir(): con.close()
数据库连接的昂贵之处:
数据库连接是一种关键的,有限的,昂贵的资源,在并发执行的应用程序中体现得尤为突出。
应用程序通过TCP协议与数据库连接,进行三次握手,四次挥手,数据库验证用户信息
这时候不断创建链接数据库就成为一种资源的占用,可以使用数据库连接池来代替:
数据库连接池预先创建出一些数据库连接,然后缓存起来,避免了程序语言反复创建和销毁连接的昂贵代价
import mysql.connector.pooling config = { "host":"localhost", "port":3306, "user":"root", "password":"123456", "database":"demo" } try: pool=mysql.connector.pooling.MySQLConnectionPool( **config, pool_size=10 ) con=pool.get_connection()
con.start_transaction() cursor=con.cursor() sql = "update t_emp set sal=sal+%s where deptno=%s" cursor.execute(sql,(200,20)) con.commit() except Exception as e: if "con" in dir(): con.rollback() print(e)
游标对象的executemany()函数可以反复执行一条SQL语句:
sql = "insert into t_dept(deptno,dname,loc) values(%s,%s,%s)" data=[[100,"A部门","北京"],[110,"B部门","上海"]] cursor.executemany(sql,data)
标签:rom 通过 where str 贵的 对象 name 数据 any
原文地址:https://www.cnblogs.com/hzyang/p/13060712.html