1、Navicat的安装下载
一、Navicat 在生产环境中操作MySQL数据库还是推荐使用命令行工具mysql,但在我们自己开发测试时, 可以使用可视化工具Navicat,以图形界面的形式操作MySQL数据库 官网下载:https://www.navicat.com/en/products/navicat-for-mysql 网盘下载:https://pan.baidu.com/s/1bpo5mqj 链接:https://pan.baidu.com/s/1Hu-x0mPuSW3g9CxNFlnAng 密码:pqe5
使用网盘的有免费的注册码
# 打开 双击: # D:\navicatformysql\Navicat for MySQL\navicat 需要掌握的基本操作 掌握: #1. 测试+链接数据库 #2. 新建库 #3. 新建表,新增字段+类型+约束 #4. 设计表:外键 #5. 新建查询 #6. 备份库/表 注意: 批量加注释:ctrl+?键 批量去注释:ctrl+shift+?键
新建查询:
ctrl +? 注释代码
ctrl + shift+/ 解除代码注释
备份库:
方面自己开发时调试用
二、pymysql模块
介绍: 在python程序中操作数据库呢?这就用到了pymysql模块, 该模块本质就是一个套接字客户端软件,使用前需要事先安装 pip3 install pymysql 前提: 授权加创建 grant all on *.* to 'root'@'%' identified by '123'; flush privileges; 端口:3306 ip: 192.168.1.102 mysql -uroot -p123 -h 192.168.1.102
pymysql模块之基本使用:
# pip3 install pymysql import pymysql user=input('user>>').strip() pwd=input('password>>').strip() # 建立连接 conn=pymysql.connect( host=服务端ip port=3306, user='root', password='123', db='db8', charset='utf8' ) # 拿到游标 cursor=conn.cursor() # 相当于 >mysql 输入命令 # 执行sql语句 sql = 'select * from user_info where user="%s" and pwd="%s"' %(user,pwd) rows = cursor.execute(sql) cursor.close() conn.close() if rows: print('welcome') else: print('sorry')
pymysql模块之sql注入问题,解决上面程的bug
非法字符的输入可以登录成功
2.sql注入 注意:符号--会注释掉它之后的sql,正确的语法:--后至少有一个任意字符 1、sql注入之:用户存在,绕过密码 egon' -- 任意字符 2、sql注入之:用户不存在,绕过用户与密码 xxx' or 1=1 -- 任意字符
-- 之后的sql均被注释掉了
or 1=1 永远成立
解决办法:
解决办法: # 原来是我们对sql进行字符串拼接 # sql="select * from userinfo where name='%s' and password='%s'" %(user,pwd) # print(sql) # res=cursor.execute(sql) #改写为(execute帮我们做字符串拼接,我们无需且一定不能再为%s加引号了) sql="select * from userinfo where name=%s and password=%s" #!!!注意%s需要去掉引号,因为pymysql会自动为我们加上 res=cursor.execute(sql,(user,pwd)) #pymysql模块自动帮我们解决sql注入的问题,只要我们按照pymysql的规矩来。
代码:
# pip3 install pymysql import pymysql user=input('user>>').strip() pwd=input('password>>').strip() # 建立连接 conn=pymysql.connect( host='10.10.40.140', port=3306, user='root', password='123', db='db8', charset='utf8' ) # 拿到游标 cursor=conn.cursor() # 相当于 >mysql 输入命令 # 执行sql语句 #sql = 'select * from user_info where user="%s" and pwd="%s"' %(user,pwd) #print(sql) sql = 'select * from user_info where user=%s and pwd=%s' rows = cursor.execute(sql,[user,pwd]) cursor.close() conn.close() if rows: print('welcome,登录成功') else: print('sorry,登录失败')
3、pymysql模块之增删改查
增:
import pymysql #链接 conn=pymysql.connect(host='localhost',user='root',password='123',database='egon') #游标 cursor=conn.cursor() #执行sql语句 #part1 # sql='insert into userinfo(name,password) values("root","123456");' # res=cursor.execute(sql) #执行sql语句,返回sql影响成功的行数 # print(res) #part2 # sql='insert into userinfo(name,password) values(%s,%s);' # res=cursor.execute(sql,("root","123456")) #执行sql语句,返回sql影响成功的行数 # print(res) #part3 sql='insert into userinfo(name,password) values(%s,%s);' res=cursor.executemany(sql,[("root","123456"),("lhf","12356"),("eee","156")]) #执行sql语句,返回sql影响成功的行数 print(res) conn.commit() #提交后才发现表中插入记录成功 cursor.close() conn.close()
查:fetchone(每次查询一个),fetchmany(查询多个),fetchall全部
import pymysql #链接 conn=pymysql.connect(host='localhost',user='root',password='123',database='egon') #游标 cursor=conn.cursor() #执行sql语句 sql='select * from userinfo;' rows=cursor.execute(sql) #执行sql语句,返回sql影响成功的行数rows,将结果放入一个集合,等待被查询 # cursor.scroll(3,mode='absolute') # 相对绝对位置移动 # cursor.scroll(3,mode='relative') # 相对当前位置移动 res1=cursor.fetchone() res2=cursor.fetchone() res3=cursor.fetchone() res4=cursor.fetchmany(2) res5=cursor.fetchall() print(res1) print(res2) print(res3) print(res4) print(res5) print('%s rows in set (0.00 sec)' %rows) conn.commit() #提交后才发现表中插入记录成功 cursor.close() conn.close() ''' (1, 'root', '123456') (2, 'root', '123456') (3, 'root', '123456') ((4, 'root', '123456'), (5, 'root', '123456')) ((6, 'root', '123456'), (7, 'lhf', '12356'), (8, 'eee', '156')) rows in set (0.00 sec) '''
获取插入的最后一条数据的自增ID
print(cursor.lastrowid) #在插入语句后查看
import pymysql conn=pymysql.connect(host='localhost',user='root',password='123',database='egon') cursor=conn.cursor() sql='insert into userinfo(name,password) values("xxx","123");' rows=cursor.execute(sql) print(cursor.lastrowid) #在插入语句后查看 conn.commit() cursor.close() conn.close()
悟已往之不谏,知来者之可追。
