python第三方模块之pymysql
python第三方模块之pymysql
首先我们要先向解释器中安装pymysql模块:
pip install pymysql
与数据库建立连接
conn = pymysql.connect(
host='127.0.0.1', # 与本地数据库建立连接,可以尝试其他电脑的ip地址
port=3306, # 端口可写可不写,默认3306
user='root',
password="111",
database="navicat_test1", # 选择一个库,关键字可以简化为db
charset="utf8mb4"
) # 更多参数可以点进connect的源码去看
数据库模块的使用
-
产生游标对象
# cursor = conn.cursor() # 括号内不填写额外参数 数据是元组 指定性不强 [(),()] cursor = conn.cursor(cursor=pymysql.cursors.DictCursor) # [{},{}]
-
编写sql
sql = "select * from class" # 查找库navicat_test1下的表class
-
交由服务端执行
affect_rows = cursor.execute(sql) # 返回sql影响的数据行数 print(affect_rows)
-
获取执行的结果
cursor.fetchone() # 从当前位置 拿到一条执行结果 cursor.fetchall() # 拿到所有结果 crusor.fetchmany(n) # 从当前位置 拿到多个结果
游标的含义就是可以移动,我们在拿结果时,游标会自动的往后移动,如果我们想重新拿到前面的结果,可以使用滚动方法:
cursor.scroll(1,'relative') # 基于当前位置往后移动 cursor.scroll(0,'absolute') # 基于数据的开头往后移动
补充
在pymysql中,在查询时我们不需要二次确认,但是涉及增改删操作时,我们的mysql好像没有响应我们,这是因为mysql在触及这些操作时会问我们的客户端是否确认操作。
我们需要在执行完,对其进行确认
cursor.execute("update class set caption='五年5班' where cid=10") # 改动某个数据值
conn.commit() # 针对 增 删 改 需要二次确认(代码确认)
这样就可以通过python代码实现对数据库数据的增删改查了。
而二次确认其实也不用我们专门写一下,还可以在连接时添加一个配置参数就行:
conn = pymysql.connect(
host='127.0.0.1',
port=3306,
user='root',
password="111",
database="navicat_test1",
charset="utf8mb4",
autocommit=True # <---自动确认增删改
)
用数据库完成注册登录功能
import pymysql
conn = pymysql.connect(
host='127.0.0.1',
port=3306,
user='root',
password="111",
database="a_pro_user",
charset="utf8mb4",
autocommit=True, # <---自动确认增删改
)
def teacher_register():
cursor = conn.cursor()
while True:
username = input('请输入用户名:').strip()
sql = f"select name from a_pro_user.teacher where name='{username}';"
cursor.execute(sql) # 通过sql语句来判断库中是否有相关用户
if cursor.fetchone(): # 如果拿到数据,说明有相关用户
print('你输入的用户名已经被注册了')
continue
password = input('请输入密码:').strip()
confirm_pwd = input('请确认密码:').strip()
if not password == confirm_pwd:
print('两次输入的密码不一致')
continue
sql = f"insert into a_pro_user.teacher(name, pwd) values ('{username}',password('{password}'));"
cursor.execute(sql) # 通过sql语句插入用户密码等数据
print('注册成功')
def teacher_login():
cursor = conn.cursor()
while True:
username = input('请输入用户名:').strip()
password = input('请输入密码:').strip()
sql = f"select name,pwd from a_pro_user.teacher where name='{username}'and pwd=password('{password}')"
cursor.execute(sql) # 用户密码对的上某一条数据,则能搜索搭到相关数据
if cursor.fetchone():
print('登录成功')
break
print('用户名或者密码输入错误!')
func_dict = {
'1': teacher_register,
'2': teacher_login,
}
def run():
while True:
choice = input('''
1 老师注册
2 老师登录
输入功能编号:''').strip()
if choice == 'q':
quit()
if choice in func_dict:
func_dict.get(choice)()
else:
print('编号输入的不对')
if __name__ == '__main__':
run()
sql注入问题
将上述代码的登录功能拿出来,用户输入时可以通过sql语法改写我们的sql句法结构。
cursor = conn.cursor()
username = input('请输入用户名:').strip()
password = input('请输入密码:').strip()
sql = f"select name,pwd from a_pro_user.teacher where name='{username}'and pwd=password('{password}')"
print(sql) # 检查sql语句
cursor.execute(sql) # 用户密码对的上某一条数据,则能搜索搭到相关数据
if cursor.fetchone():
print('登录成功')
else:
print('用户名或者密码输入错误!')
如以下的演示运行,我们可能出现以下的问题。
# ``中是用户输入数据
# 正常登录
> 请输入用户名:`leethon`
> 请输入密码:`123`
> select name,pwd from a_pro_user.teacher where name='leethon'and pwd=password('123')
> 登录成功
# 只知道用户名,也可以登录成功
> 请输入用户名:`leethon' -- sdfsdf`
> 请输入密码:
> select name,pwd from a_pro_user.teacher where name='leethon' -- sdfsdf'and pwd=password('')
> 登录成功
# 甚至不知道用户名,也可以登录成功
> 请输入用户名:sdjf' or True -- sdfsdf
> 请输入密码:
> select name,pwd from a_pro_user.teacher where name='sdjf' or True -- sdfsdf'and pwd=password('')
> 登录成功
发生上述情况,我们需要观察我们输入的数据以及最终拼接成的sql语句:
-
select name,pwd from a_pro_user.teacher where name='leethon' -- sdfsdf'and pwd=password('')
这是知道用户名而跳过密码的登录成功所运行的sql语句,可以看见,在筛选过
name='leethon'
后就都是注释了,所以就跳过了对密码的验证。 -
select name,pwd from a_pro_user.teacher where name='sdjf' or True -- sdfsdf'and pwd=password('')
这个就更狠了,在我们验证用户名的信息后又用逻辑运算or了一个bool值
TRUE
所以筛选条件where后面就相当于一直为真,表中的所有记录都会被查询。
这就是sql注入问题:利用特殊符合的组合产生特殊的含义,从而避开正常的业务逻辑
而针对sql问题的解决,解决方案其实pymysql也为我们提供了。
sql注入的解决
sql = " select * from a_pro_user.teacher where name=%s and pwd=%s " # 用占位符来占位
cursor.execute(sql, (username, password(password)) # 直接在execute方法中用元组参数的方式传入占位字符。
而关于py模块的sql语句,也可以一次多次重复执行,并一次传入多个参数,如我们要插入多条数据:
sql = "insert into a_table values(%s,%s,%s)"
executemany(sql,[(),(),(),()...]) #一次用列表元组执行,方法名是executemany()