python操作MySQL、SQL注入问题、视图等

python操作MySQL

SQL注入问题

修改表SQL语句补充

视图、触发器、存储过程

事务

流程控制、函数

索引和慢查询优化

python操作MySQL

python中支持操作mysql的模块很多,其中最常见的当属'pymysql'

# 属于第三方模块
pip3 install pymysql
# 基本使用
import pymysql
# 第一步链接服务端
conn_obj = pymysql.connect(
    host='127.0.0.1',  # MySQL服务端的ip地址
    port=3306,  # MySQL默认的port地址(也就是端口号)
    user='root',  # 用户名
    password='123456',  # 密码,也可以简写passwd
    database='lsw01',  # 使用库名,简写为'db'
    charset='utf8',  # 字符编码,不要加杠
)
# 第二步产生获取命令的游标对象
cursor = conn_obj.cursor(
    cursor=pymysql.cursors.DictCursor
)  # 括号里不写参数,数据是元组要元组,不够精确,添加一个参数则会将数据处理成字典
# 第三步编写SQL语句
# sql1 = 'show tables;'
sql1 = 'select * from dep;'
# 4、执行SQL语句
affect_rows = cursor.execute(sql1)  # sql1执行后,受影响的行数
print(affect_rows)
# 获取结果
# res = cursor.fetchone()  # 获取结果集中的一个值,再次获取就是从上次获取的位置开始 {'id': 200, 'name': '技术'}
# res = cursor.fetchmany(2)  # 获取结果集中的指定个数  [{'id': 200, 'name': '技术'}, {'id': 201, 'name': '人力资源'}]
# res = cursor.fetchall()  # 获取结果集中的所有 [{'id': 200, 'name': '技术'}, {'id': 201, 'name': '人力资源'}, {'id': 202, 'name': '销售'}, {'id': 203, 'name': '运营'}, {'id': 205, 'name': '安保'}]

# print(cursor.fetchone())  # {'id': 200, 'name': '技术'}
# cursor.scroll(1, 'relative')  # 相对于当前的位置往后移动一格
# print(cursor.fetchone())  # {'id': 202, 'name': '销售'}

print(cursor.fetchall())
cursor.scroll(1,'absolute')  # 相对于起始位置往后移动一个单位
print(cursor.fetchall())

''' 操作补充 '''
获取SQL语句执行的结果,跟读取文件内容的read方法一样,光标的移动
cursor.fetchone()   # 获取结果集中的一个值,再次获取就是从上次获取的位置开始
cursor.fetchmany()  # 获取结果集中的指定个数 括号里面传值
cursor.fetchall()  # 获取结果集中的所有 

cursor.scroll(1, 'relative')   # 相对于当前的位置往后移动一格
cursor.scroll(1,'absolute')   # 相对于起始位置往后移动一个单位

image-20220509161752126

SQL注入问题

# 用户登录
import pymysql

conn_obj = pymysql.connect(
    host='127.0.0.1',
    port=3306,
    user='root',
    passwd='123456',
    database='lsw03',
    charset='utf8'
)
cursor = conn_obj.cursor(
    cursor=pymysql.cursors.DictCursor
)

name = input('请输入用户名>>>:').strip()
password = input('请输入用户密码>>>:').strip()
sql = "select * from userinfo where name='%s' and password='%s';" %(name, password)
cursor.execute(sql)
res = cursor.fetchall()
if res:
    print('用户登录成功')
else:
    print('用户或密码错误')

image-20220509170359731

  • 注入问题

# 只要写正确的用户名,密码直接回车就可以登录成功
# 注释语法
请输入用户名>>>:owen' -- sdfsfwiskf
请输入用户密码>>>:
用户登录成功
# 用户名和密码都不需要也可以登录
# 逻辑运算符
请输入用户名>>>:xxx' or 1=1 -- udadaj
请输入用户密码>>>:
用户登录成功
# 解决SQL注入的问题其实也很简单,就是想办法过滤特殊符号
execute 方法自带校验SQL注入的问题,自动处理特殊符号
ps:
    设计到敏感数据的拼接,全部交给execute方法
    sql = "select * from userinfo where name=%s and password=%s;"
cursor.execute(sql, (name, password))


"""
execute方法补充(了解)
	批量插入数据
sql = 'insert into userinfo(name,password) values(%s,%s)'
cursor.executemany(sql,[('tom',123),('lavin',321),('pony',333)])
"""

image-20220509180553533

  • 二次确认
"""
 数据的增删改查四个操作都有轻重之分
 查  ———— 不会影响真正的数据,重要程度最低
 增删改 ———— 都会影响真正的数据,重要程度高
 pymysql 针对增删改三个操作,设置了二次确认,如果不去确认则不会真正的影响数据库
"""

# 确认方式
方式一:代码的直接编写  # 每处想要确认时再确认
    affect——row = cursor.execute(sql)
    conn_obj.commit()

image-20220509174412188

方式二: 配置固定参数  # 操作时直接二次确认
    conn_obj = pymysql.connect(
    autocommit=True 
)

修改表SQL语句补充

'修改表的名字 rename'
alter table t1 rename tt1;

'添加字段  add'
alter table tt1 add password int; # 默认是尾部追加字段
alter table tt1 add tid int after name; # 指定追加位置
alter table tt1 add nid int first; # 指定头部增加

'修改字段  change(名字类型都可以) modify(只能改类型不能改名字)'
alter table tt1 change password tinyint

'删除字段  drop'
alter table tt1 drop nid;

image-20220509181549537

视图、触发器、存储过程

  • 视图

"""
  视图的概念
    通过SQL语句的执行得到了一个虚拟表,保存下来之后称之为'视图'
  视图的作用
    如果需要频繁的使用一张虚拟表 可以考虑制作成视图 降低操作难度
		eg: emp与dep表拼接
select * from teacher inner join course on teacher.tid = course.teacher_id;
视图的制作
	create view 视图名 as sql语句
	eg:
create view twithc as select * from teacher inner join course on teacher.tid = course.teacher_id;
"""
# 视图虽然看似好用 但是会造成表的混乱,因为视图不是真正的数据源
# 视图只能用于数据的查询 不能做增、删、改的操作 可能会影响原始数据(视图里面的数据是直接来源于原始表 而不是拷贝一份)

image-20220509192129708

  • 触发器

"""
触发器概念
    在对表数据进行增、删、改的具体操作下,自动触发的功能
触发器作用
     专门针对表数据的操作,定制个性化配套功能
触发器种类
     表数据新增之前、新增之后
     表数据修改之前、修改之后
     表数据删除之前、删除之后
触发器创建
     create trigger 触发器名字 before\after insert\update\delete
     on 表名 for each row 
         begin
            SQL语句
         end
触发器名字
  一般采用下列的形式
  tri_after_insert_t1  给表t1增加之后触发
  tri_after_update_t2  给表t2修改之后触发
  tri_after_delete_t3  给表t3删除数据之后
"""

# 实际的一个操作
1、先创建两张表
CREATE TABLE cmd (
        id INT PRIMARY KEY auto_increment,
        USER CHAR (32),
        priv CHAR (10),
        cmd CHAR (64),
        sub_time datetime, #提交时间
        success enum ('yes', 'no') #0代表执行失败
    );

    CREATE TABLE errlog (
        id INT PRIMARY KEY auto_increment,
        err_cmd CHAR (64),
        err_time datetime
    );
2、需求:cmd表插入数据的sucess如果值为no,则去errlog表中插入一条记录
    delimiter $$  # 将mysql默认的结束符由;换成$$
    create trigger tri_after_insert_cmd after insert on cmd for each row
    begin
        if NEW.success = 'no' then  # 新记录都会被MySQL封装成NEW对象
            insert into errlog(err_cmd,err_time) values(NEW.cmd,NEW.sub_time);
        end if;
    end $$
    delimiter ;  # 结束之后记得再改回来,不然后面结束符就都是$$了
3.仅仅往cmd表中插入数据
  	INSERT INTO cmd (
          USER,
          priv,
          cmd,
          sub_time,
          success
    )VALUES
        ('kevin','0755','ls -l /etc',NOW(),'yes'),
        ('kevin','0755','cat /etc/passwd',NOW(),'no'),
        ('kevin','0755','useradd xxx',NOW(),'no'),
        ('kevin','0755','ps aux',NOW(),'yes');
4.触发器其他补充
  	查看当前库下所有的触发器信息
    	show triggers\G;
    删除当前库下指定的触发器信息
    	drop trigger 触发器名称;

image-20220509203705072

  • 存储过程

# 有点类似于Python中的自定义函数

delimiter $$
create procedure1
begin
	select * from cmd;
end $$
delimiter ;

# 调用函数
call p1()

"""
 有参函数:
 delimiter $$
   create procedure p2(
    in m int,  # in表示这个参数必须只能是传入不能被返回出去
    in n int,  
    out res int  # out表示这个参数可以被返回出去,还有一个inout表示即可以传入也可以被返回出去
  )
  begin
      select tname from userinfo where id > m and id < n;
      set res=0;  # 用来标志存储过程是否执行
  end $$
  delimiter ;
# 针对res需要先提前定义
  set @res=10;  定义
  select @res;  查看
  call p2(1,5,@res)  调用
  select @res  查看

查看存储过程具体信息
	show create procedure pro1;
查看所有存储过程
	show procedure status;
删除存储过程
	drop procedure pro1;
"""

事务

# 事务的概念
    事务可以包含诸多SQL语句并且这些SQL语句
    要么同时执行成功、要么执行失败,这是事务的原子性特点 
    
# 事务的作用 
   eg:A欠了B一笔钱
      还钱时,A拿着交行的银行卡去招商银行的ATM给B的建设银行转钱
        1、朝交行的服务器发送请求,修改A的账户
        2、朝建行的服务器发送请求,修改B的账户
# 事务的四大特性
ACID
A:原子性
      一个事务是一个不可分割的整体,里面的操作要么都成立要么都不成立
C:一致性
      事务必须使数据库从一个一致性状态变到另外一个一致性 状态
I:隔离性
      并发编程中,多个事务之间是相互隔离的,不会彼此干扰
D:持久性
      事务一旦提交,产生的结果应该是永久性的,不可逆的
        
#具体操作
1.创建表及录入数据
  	create table user(
      id int primary key auto_increment,
      name char(32),
      balance int
      );
    insert into user(name,balance)
      values
      ('owen',1000),
      ('tom',1000),
      ('gavin',1000);
2、事务的操作
   开启一个事务的操作
    start transaction;
  编写SQL语句(同属于一个事务)
update user set balance=900 where name='owen';
update user set balance=1010 where name='tom'; 
update user set balance=1090 where name='gavin';

"""事务回滚(返回执行事务操作之前的数据库状态)
    	rollback;  # 执行完回滚之后 事务自动结束
    事务确认(执行完事务的主动操作之后 确认无误之后 需要执行确认命令)
    	commit;  # 执行完确认提交之后 无法回滚 事务自动结束
        """

image-20220509212624686

流程控制、函数

  • 流程控制

# python if判断
	if 条件:
    子代码
  elif 条件:
    子代码
  else:
    子代码
# js if判断
	if(条件){
    子代码
  }else if(条件){
    子代码
  }else{
    子代码
  }
# MySQL if判断
	if 条件 then
        子代码
  elseif 条件 then
        子代码
  else
        子代码
  end if;
  
# MySQL while循环
DECLARE num INT ;
SET num = 0 ;
WHILE num < 10 DO
SELECT num ;
SET num = num + 1 ;
END WHILE ;

  • 函数

# mysql内置函数只能在sql语句中使用
'''我们可以通过help 函数名 的方式查看帮组信息'''
# 移除指定字符
Trim 、LTrim(左移除) 、 RTrim(右移除)
# 大小写转换
Lower、Upper

# 获取左右起始指定个数字符
Left、Right

# 返回读音相似值(对英文效果)
Soundex
"""
eg:客户表中有一个顾客登记的用户名为J.Lee
		但如果这是输入错误真名其实叫J.Lie,可以使用soundex匹配发音类似的
		where Soundex(name)=Soundex('J.Lie')
"""

# 日期格式:date_format
'''在MySQL中表示时间格式尽量采用2022-11-11形式'''
CREATE TABLE blog (
    id INT PRIMARY KEY auto_increment,
    NAME CHAR (32),
    sub_time datetime
);
INSERT INTO blog (NAME, sub_time)
VALUES
    ('第1篇','2015-03-01 11:31:21'),
    ('第2篇','2015-03-11 16:31:21'),
    ('第3篇','2016-07-01 10:21:31'),
    ('第4篇','2016-07-22 09:23:21'),
    ('第5篇','2016-07-23 10:11:11'),
    ('第6篇','2016-07-25 11:21:31'),
    ('第7篇','2017-03-01 15:33:21'),
    ('第8篇','2017-03-01 17:32:21'),
    ('第9篇','2017-03-01 18:31:21');
select date_format(sub_time,'%Y-%m'),count(id) from blog group by date_format(sub_time,'%Y-%m');

1.where Date(sub_time) = '2015-03-01'
2.where Year(sub_time)=2016 AND Month(sub_time)=07;
# 更多日期处理相关函数 
	adddate	增加一个日期 
	addtime	增加一个时间
	datediff	计算两个日期差值
  ...

image-20220509221909839

索引和慢查询优化

# 索引就是一种数据结构
	类似于书的目录。意味着以后再查数据应该先找目录再找数据,而不是用翻页的方式查询数据
  
索引在MySQL中也叫做“键”,是存储引擎用于快速找到记录的一种数据结构
	primary key 	主键
  unique	key		唯一键
  index 	key   索引键
上面三种key前两种除了有加速查询的效果之外还有额外的约束条件(primary key:非空且唯一,unique key:唯一),而index key没有任何约束功能只会帮你加速查询
# ps:foreign key不是用来加速查询用的,不在我们研究范围之内

# 索引的基本用法
id	name	pwd		post_comment  addr  age 
	基于id查找数据很快 但是基于addr查找数据就很慢 
  	解决的措施可以是给addr添加索引
'''索引虽然好用 但是不能无限制的创建!!!'''
**索引的影响:**
	* 在表中有大量数据的前提下,创建索引速度会很慢
	* 在索引创建完毕后,对表的查询性能会大幅度提升,但是写的性能会降低

索引的底层数据结构是b+树
	b树 红黑树 二叉树 b*树 b+树
  	上述结构都是为了更好的基于树查找到相应的数据

  • 聚集索引

聚集索引是将主键与行记录存储在一起,当根据主键进行查询时,可直接在表中获取到数据,不用回表查询。InnonDB的所有的表都是索引组织表,主键与数据存放在一起。InnoDB选择聚集索引遵循以下原则:

在创建表时,如果指定了主键,则将其作为聚集索引。
如果没有指定主键,则选择第一个NOT NULL(非空)的唯一索引作为聚集索引。
如果没有唯一索引,则内部会产生一个6字节的rowID(主键值)作为主键

  • 辅助索引

辅助索引(unique key,index key)
	查询数据的时候不可能都是用id作为筛选条件,也可能会用name,password等字段信息,那么这个时候就无法利用到聚集索引的加速查询效果。就需要给其他字段建立索引,这些索引就叫辅助索引

'''
  叶子结点存放的是辅助索引字段对应的那条记录的主键的值(比如:按照name字段创建索引,那么叶子节点存放的是:{name对应的值:name所在的那条记录的主键值})
数据查找 如果一开始使用的是辅助索引 那么还需要使用聚焦索引才可以获取到真实数据
  '''

  • 覆盖索引

只在辅助索引的叶子节点中就已经找到了所有我们想要的数据
	select name from user where name='gavin';
非覆盖索引:虽然查询的时候命中了索引字段name,但是要查的是age字段,所以还需要利用主键才去查找
	select age from user where name='gavin';

OJTYa4.jpg

posted @   未月  阅读(311)  评论(0编辑  收藏  举报
相关博文:
· MySQL基础
· 字符编码配置、mysql字符类型和约束条件
· MySQL杂论
· Python操作mysql
· python操作MySQL SQL注入问题 视图 触发器 存储过程 流程控制 函数 索引与慢查询优化
阅读排行:
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?
点击右上角即可分享
微信分享提示
AI FOR CODE 大赛