视图是什么?
本质是一张虚拟的表,他的数据来自select语句
有什么用?
功能1:原表安全,隐藏部分数据,开放指定的数据
功能2:因为视图可以将查询结果保存特性 我可以用视图来达到减少书写sql的次数
例如:select *from emp where dept_id=(select id from dept where name="市场");
要查询市场的人
create view test_view as select *from emp where dept_id=(select id from dept where name="市场")
将查询结果作为一个视图,以后在使用到这个需求 就直接查看视图
如何使用?
创建视图:create view test_view as select *from t1;
特点:
1.每次对视图进行的查询 其实都是再次执行了 as 后面的查询语句
2.可以对视图进行修改 修改会同步到原表
3.视图是永久存储的 存储的不是数据 而就是一条 as sql语句
sql注入问题
sql注入攻击指的是 一些了解sql一些了解sql语法的 用户 可以输入一些关键字 或合法sql 来导致原始的sql逻辑发生变化 从而跳过登录验证 或者 删除数据库
如何避免 在接受用户输入的数据时 可以加上限制 比如 不能输 -- ' ; where 等等
上面这种方式 只能避免 黑客 从你的客户端软件注入 sql但是无法避免 中间人攻击(在你的客户端和服务器中间加一个中转服务器)这样就绕过了客户端的输入限制 此时 只能将sql合法性验证放在服务器端
总结: python如何避免sql注入? 把你的slq(用户输入的)参数 放execute函数的arg参数中 让pymysql 自动帮你屏蔽注入攻击
import pymysql conn = pymysql.Connect( user="root", password="admin", host="localhost", database="mysql2", charset="utf8" ) cursor = conn.cursor(pymysql.cursors.DictCursor) #sql = "select *from user where user = '%s' and pwd = '%s';" % (input("input userName"),input("input password")) # 当用户输入的用户名为字符串 为 yy' -- 时 # 最终产生的sql select *from user where user = 'yy' -- ' and pwd = '987657890'; # -- 用于mysql注释 意思是 后面的内容忽略掉 # 从而导致 密码是否正确都能登录成功 # "select *from user where user = 'axxax' or 1=1; #print(sql) count = cursor.execute("select *from tec where user = %s and pwd = %s;",args=(input("user"),input("pwd"))) print(count) if count: print("login success") else: print("login error") cursor.close() conn.close()
事务
是一组sql语句的集合
事务的特性:
1.原子性
事务是一个整体 不可分割
2.隔离性
事务之间要相互隔离,为了维护数据完整性
因为并发访问 导致的一些问题:
1.脏读:一个事务读到了另一个事务未提交的数据 查询之前要保证所有更新都已经完成
2.幻读: 一个查询事务没有结束时,数据被另一个事务 执行insert delete操作
3.不可重复读: 一个事务在查询 另一个事务在update
四种隔离级别:读未提交 读已提交 可重复读 串行化
3.一致性
当事务执行后 所有的数据都是完整的(外键约束 非空约束)
4.持久性
一旦事务提交 数据就永久保存
强调:事务就是 一堆sql语句的集合 他们是原子性的 要么全部执行 要么都不执行
mysql 这个客户端 默认开启自动提交 一条sql语句就是一个单独的事务
事务需要掌握: start transaction; 开启一个事务
commit 提交事务
rollback 回滚事务
存储过程是什么? 你可以理解为mysql的编程语言 为什么 有了python 还要弄出来这种编程语言? 他的作用 可以将你的程序业务逻辑 放到mysql中来处理 这样可以降低网络访问次数 从而提高你的程序效率 既然如此 你能不能把所有与数据存储相关的业务逻辑 全都放mysql中? 能 但是 对于公司而言 需要再请一个 mysql开发者 对于你个人来说 提高沟通成本 三种开发的模型 对于同样一个业务 你可以放到python也可以放到mysql 有什么区别? 1. 应用程序 处理逻辑 需要手动编写 sql语句 优点:执行效率高 缺点: 开发效率低 mysql 2. 应用程序 mysql 处理逻辑 特点: 应用程序开发者不需要需要手动编写 sql语句 mysql开发者来编写 优点: 应用程序开发效率高 缺点: 执行效率略低,沟通成本增高 3.使用 ORM(object relation map) 对象关系映射 自动帮你生成对应的sql语句 比如你要注册用户 本来要写insert 语句 现在使用orm调用save(用户对象) 优点:开发效率高 缺点:执行效率降低 存储过程相当于python中的一个函数 简单地说 学习存储过程就是学习 如何使用mysql编写一个函数 语法: create procedure 过程的名称 ({in,out,inout} 参数名称 数据类型) begin 具体的sql代码 end 参数前面需要指定参数的作用 in 表示该参数用于传入数据 out 用于返回数据 inout 即可传入 也可返回 参数类型是 mysql中的数据类型 案例:创建一个存储过程 作用是将两个整数相加 create procedure add_p (in a int,in b int) begin select a + b; end // 调用 call add_p(1,2) 案例:创建一个存储过程 作用是将两个整数相加 将结果保存在变量中 定义一个变量 set @su = 100; create procedure add_p2 (in a int,in b int,out su int) begin set su = a + b; end // 定义变量 set @su = 100; 调用过程 call add_p2(10,20,@su); 注意 在存储过程中 需要使用分号来结束一行 但是分号有特殊含义 得将原始的结束符 修改为其他符号 delimiter // 结束符更换为// delimiter; mysql中的if语句 if 条件 then 代码 elseif 条件 then 代码 else then 代码 end if; 案例: 使用存储过程 完成 输入 一个 数字 1或2 显示 壹 或 贰 create procedure show_p (in a int) begin if a = 1 then select "壹"; elseif a = 2 then select "贰"; else select "other"; end if; end //
