mysql数据库创建连接:

1.
import mysql.connector con
= mysql.connector.connect( host="localhost",port="3306", user="root",password="123456", database="demo" )
2.
import mysql.connector
config = {
    "host":"localhost",
    "port":3306,
    "user":root,
    "password":123456,
    "database":demo
}
con = mysql.connector.connect(**config)

游标cursor:

  mysql connector里面的游标用来执行SQL语句,而且查询的结果集也会保存在游标之中

cursor = con.cursor()
cursor.execute(sql语句)

 注入攻击:
  由于SQL语言是解释性语言,所以在拼接SQL语句的时候,容易被注入恶意的SQL语句。

id = "1 or 1=1"
sql = "delete from t_news where id="+id;

使用SQL的预编译机制抵御注入攻击:
  预编译SQL就是数据库提前把SQL语句编译成二进制,这样反复执行同一条SQL语句的效率就会提升。

  SQL语句编译的过程中,关键字已经被解析过了,所以向编译后的SQL语句传入参数,都被当做字符串处理,数据库不会解析其中注入的SQL语句

id = "1 or 1=1"
sql = "delete from t_news where id=%s";#这样一来传入的id就只是一个字符串,不会被预解析和编译了
cursor.execute(sql,id);

 SQL connector的异常处理:

import mysql.connector
try:
    con = mysql.connector.connect(
        host="localhost",
        port=3306,
        user="root",
        password="123456",
        database="demo"
    )
    con.start_transaction()
    cursor=con.cursor()
    sql="insert into t_emp(empno,ename,job,mgr,hiredate,sal,comm,deptno)"\
        "value(%s,%s,%s,%s,%s,%s,%s,%s)"
    cursor.execute(sql,(9600,"CIA","SALEMAN",None,"1985-12-1",2500,None,10))
    con.commit()
except Exception as e:
    if "con" in dir():
        con.rollback()
    print(e)
finally:
    if "con" in dir():
        con.close()

数据库连接的昂贵之处:

  数据库连接是一种关键的,有限的,昂贵的资源,在并发执行的应用程序中体现得尤为突出。

  应用程序通过TCP协议与数据库连接,进行三次握手,四次挥手,数据库验证用户信息

这时候不断创建链接数据库就成为一种资源的占用,可以使用数据库连接池来代替:
  数据库连接池预先创建出一些数据库连接,然后缓存起来,避免了程序语言反复创建和销毁连接的昂贵代价

import mysql.connector.pooling
config = {
    "host":"localhost",
    "port":3306,
    "user":"root",
    "password":"123456",
    "database":"demo"
}
try:
    pool=mysql.connector.pooling.MySQLConnectionPool(
        **config,
        pool_size=10
    )
    con=pool.get_connection()
con.start_transaction()
cursor=con.cursor() sql = "update t_emp set sal=sal+%s where deptno=%s" cursor.execute(sql,(200,20)) con.commit() except Exception as e: if "con" in dir(): con.rollback() print(e)

 游标对象的executemany()函数可以反复执行一条SQL语句:

sql = "insert into t_dept(deptno,dname,loc) values(%s,%s,%s)"
data=[[100,"A部门","北京"],[110,"B部门","上海"]]
cursor.executemany(sql,data)

 

Posted on 2020-06-27 12:58  Schrodinger'sdoris  阅读(204)  评论(0编辑  收藏  举报