pymysql模块
一 介绍
之前我们都是通过MySQL自带的命令行客户端工具mysql来操作数据库,那如何在python程序中操作数据库呢?这就用到了pymysql模块,该模块本质就是一个套接字客户端软件,使用前需要事先安装
pip3 install pymysql
二 链接、执行sql、关闭(游标)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 | import pymysql user = input ( '用户名: ' ).strip() pwd = input ( '密码: ' ).strip() #链接 conn = pymysql.connect(host = 'localhost' ,port = 3306 , user = 'root' ,password = ' ',database=' db5 ',charset=' utf8') #游标 cursor = conn.cursor() #执行完毕返回的结果集默认以元组显示 #cursor=conn.cursor(cursor=pymysql.cursors.DictCursor) # 以字典形式显示,有字段名 #执行sql语句 sql = 'select * from userinfo where username="%s" and password="%s"' % (user,pwd) #注意%s需要加引号 print (sql) res = cursor.execute(sql) #执行sql语句,返回sql查询成功的记录数目 print (res) cursor.close() conn.close() if res: print ( '登录成功' ) else : print ( '登录失败' ) |
三 execute()之sql注入
注意:符号--会注释掉它之后的sql,正确的语法:--后至少有一个任意字符
根本原理:就根据程序的字符串拼接name='%s',我们输入一个xxx' -- haha,用我们输入的xxx加'在程序中拼接成一个判断条件name='xxx' -- haha'
最后那一个空格,在一条sql语句中如果遇到select * from t1 where id > 3 -- and name='egon';则--之后的条件被注释掉了
#1、sql注入之:用户存在,绕过密码
egon' -- 任意字符
#2、sql注入之:用户不存在,绕过用户与密码
xxx' or 1=1 -- 任意字符
解决方法:
# 原来是我们对sql进行字符串拼接
# sql="select * from userinfo where username='%s' and password='%s'" %(user,pwd)
# print(sql)
# res=cursor.execute(sql)
#改写为(execute帮我们做字符串拼接,我们无需且一定不能再为%s加引号了)
sql="select * from userinfo where username=%s and password=%s" #!!!注意%s需要去掉引号,因为pymysql会自动为我们加上
res=cursor.execute(sql,[user,pwd]) #pymysql模块自动帮我们解决sql注入的问题,只要我们按照pymysql的规矩来。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 | # pip3 install pymysql import pymysql user = input ( '用户名: ' ).strip() pwd = input ( '密码: ' ).strip() # 链接 conn = pymysql.connect(host = 'localhost' , port = 3306 , user = 'root' , password = '', database = 'db5' , charset = 'utf8' ) # 游标 cursor = conn.cursor() # 执行完毕返回的结果集默认以元组显示 # cursor=conn.cursor(cursor = pymysql.cursors.DictCursor) # 执行sql语句 sql = 'select * from userinfo where username =%s and password=%s' # 注意%s需要加引号 # print(sql) rows = cursor.execute(sql, (user, pwd)) # 执行sql语句,返回sql查询成功的记录数目 # print(rows) cursor.close() conn.close() if rows: print ( '登录成功' ) else : print ( '登录失败' ) |
四 增、删、改:conn.commit()
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 | # 增删改 import pymysql # 建立链接 conn = pymysql.connect(host = 'localhost' , port = 3306 , user = 'root' , password = '', database = 'db5' , charset = 'utf8' ) # 游标 cursor = conn.cursor() # 执行完毕返回的结果集默认以元组显示 # 执行sql语句 # 增删改 sql = 'insert userinfo(username,password) values(%s,%s)' rows = cursor.execute(sql, ( "jack" , '789' )) # rows = cursor.executemany(sql, [("lucy", "123"), ("Job", "abc"), ("Lily", "asd")]) # 插入多条数据 conn.commit() # 提交数据 # 关闭游标、连接 cursor.close() conn.close() |
五 查:fetchone,fetchmany,fetchall
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 | import pymysql # 建立链接 conn = pymysql.connect(host = 'localhost' , port = 3306 , user = 'root' , password = '', database = 'db5' , charset = 'utf8' ) # 游标 # cursor = conn.cursor() # 执行完毕返回的结果集默认以元组显示 cursor = conn.cursor(pymysql.cursors.DictCursor) # 执行完毕返回的结果集默认以字典形式显示 # 执行sql语句 # 查询 rows = cursor.execute( 'select * from userinfo' ) # print(cursor.fetchone()) # 一次取一条结果 (取完为none) # print(cursor.fetchmany(2)) # 可以规定一次取几个 # print(cursor.fetchall()) # 取出所有 # 移动游标 cursor.scroll( 3 , mode = "absolute" ) # 绝对位置移动 cursor.scroll( 3 , mode = "relative" ) # 相对位置移动 conn.commit() # 提交数据 # 关闭游标、连接 cursor.close() conn.close() |
五 获取插入的最后一条数据的自增ID
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 | # 自增ID 获取插入的最后一条数据 import pymysql # 建立链接 conn = pymysql.connect(host = 'localhost' , port = 3306 , user = 'root' , password = '', database = 'db5' , charset = 'utf8' ) # 游标 cursor = conn.cursor() # 执行完毕返回的结果集默认以元组显示 # 执行sql语句 # 增删改 sql = 'insert userinfo(username,password) values(%s,%s)' # rows = cursor.execute(sql, ("jack", '789')) rows = cursor.executemany(sql, [( "lucy" , "123" ), ( "Job" , "abc" ), ( "Lily" , "asd" )]) # 插入多条数据 print (cursor.lastrowid) # 插入之前ID该走到 conn.commit() # 提交数据 # 关闭游标、连接 cursor.close() conn.close() |
3
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步