Python使用MySQL数据库方法及防SQL注入

安装pymysql模块

python操作mysql需要安装pymysql模块:

pip install pymysql

连接数据库

建议使用with这种方式,有两条好处:一是可以不用另外写close语句关闭连接,二是在异常退出时也能保证关闭连接。

题外话,python非常强调简洁和一致性,文件打开、关闭;socket连接、关闭;mysql连接、关闭等等都建议使用with。

import pymysql
with pymysql.connect(host='mysql的ip', user='你的用户名', password='你的密码', database='day5')\
        as conn, conn.cursor() as cur:  # 连接数据库的对象名字是conn;连接数据库的游标对象名字是cur。

查询

使用execute方法执行SQL语句:

cur.execute('select * from score')

获取查询结果全部内容。注意这种方式非常占内存,一般不使用这种方式:

ret = cur.fetchall()  # 返回结果是元组,fetchall方法返回所有记录
print(ret)

获取查询结果,逐条处理。推荐使用这种方式:

for i in range(cur.rowcount):  # rowcount是查询结果的记录数量
    print(cur.fetchone())  # fetchone方法返回一条记录

获取查询结果,指定返回记录数:

ret = cur.fetchmany(50)  # 返回50条记录
print(ret)
ret = cur.fetchmany(50)  # 返回剩下50条记录
print(ret)

增删改

使用execute方法执行SQL语句,注意增删改涉及到修改数据,execute方法执行完毕后还要执行commit方法提交后才会真正生效:

cur.execute('insert into student values (17,"男","熊大")')
conn.commit()

注意,改动数据库可能会遇到报错的情况,上述代码并不完整。通常完整的结构如下:

try:
    cur.execute('insert into student values (17,"男","熊大")')
	conn.commit()  # 提交改动数据的操作
except Exception as e:
    print(e)  # 遇到报错时打印报错信息或写入日志文件
	conn.rollback()  # 上述改动数据的操作遇到报错时执行回滚

防注入

关于防SQL语句注入要先看案例再来说明:

假设有一个应用,登录时需要用户提供用户名和密码。Python程序收到用户输入的用户名和密码后再提交到MySQL数据库进行比对,若用户名和密码正确则允许登录,错误则拒绝登录。

  • 一、创建测试用的库和表:

    create database test_login;
    use test_login;
    create table login(name char(12),password char(12));
    insert into login values('张三','123456');
    
  • 二、未防范SQL注入的错误代码案例:

    import pymysql
    
    with pymysql.connect(host='127.0.0.1', user='你的账户', password='你的密码', database='test_login') \
            as conn, conn.cursor() as cur:
        usr = input('请输入用户名:')
        pwd = input('请输入密码:')
        condition = f'select * from login where name="{usr}" and password="{pwd}"'
        print(condition)
        cur.execute(condition)
        if cur.rowcount:
            print('登录成功')
        else:
            print('登录失败')
    
  • 三、测试SQL注入,在输用户名时输入 1" or 1=1; #,请看下图:

    Python使用MySQL数据库方法及防SQL注入_第1张图片

    请认真看上面打印的sql语句内容:

    select * from login where name="1" or 1=1; #" and password="1"
    

    请注意sql语句中#表示注释后面的全部内容,所以MySQL服务端真正执行的语句如下:

    select * from login where name="1" or 1=1;
    

    看到这相信大家都能明白为啥无论密码输入什么都能登录成功,以上就是著名的SQL注入。上面的案例仅仅是示范如何绕过安全验证,实际上通过SQL注入甚至可以删库、删表造成整个系统崩溃。所以我们写代码时必须要防范SQL注入!

  • 四、防范SQL注入的正确代码:

    import pymysql
    
    with pymysql.connect(host='127.0.0.1',  user='你的账户', password='你的密码', database='test_login') \
            as conn, conn.cursor() as cur:
        usr = input('请输入用户名:')
        pwd = input('请输入密码:')
        condition = 'select * from login where name="%s" and password="%s"'
        print(condition)
        cur.execute(condition, (usr, pwd))  # execute方法有2个参数,第一个是SQL语句,第二个是元组(元组的成员是多个参数)
        if cur.rowcount:
            print('登录成功')
        else:
            print('登录失败')
    
  • 五、测试SQL注入

    Python使用MySQL数据库方法及防SQL注入_第2张图片

    此时可以看到SQL注入不会生效,请牢记execute防范SQL注入的正确方法!!!写代码务必不要出现可以SQL注入的巨大漏洞!!!
    补充一条:可以在用户输入用户名和密码时进行检测,不允许用户名和密码中出现;和#这2个符号。这样也可以有效地防范SQL注入!

你可能感兴趣的:(Python)