python操作mysql需要安装pymysql模块:
pip install pymysql
建议使用with这种方式,有两条好处:一是可以不用另外写close语句关闭连接,二是在异常退出时也能保证关闭连接。
题外话,python非常强调简洁和一致性,文件打开、关闭;socket连接、关闭;mysql连接、关闭等等都建议使用with。
import pymysql
with pymysql.connect(host='mysql的ip', user='你的用户名', password='你的密码', database='day5')\
as conn, conn.cursor() as cur: # 连接数据库的对象名字是conn;连接数据库的游标对象名字是cur。
使用execute方法执行SQL语句:
cur.execute('select * from score')
获取查询结果全部内容。注意这种方式非常占内存,一般不使用这种方式:
ret = cur.fetchall() # 返回结果是元组,fetchall方法返回所有记录
print(ret)
获取查询结果,逐条处理。推荐使用这种方式:
for i in range(cur.rowcount): # rowcount是查询结果的记录数量
print(cur.fetchone()) # fetchone方法返回一条记录
获取查询结果,指定返回记录数:
ret = cur.fetchmany(50) # 返回50条记录
print(ret)
ret = cur.fetchmany(50) # 返回剩下50条记录
print(ret)
使用execute方法执行SQL语句,注意增删改涉及到修改数据,execute方法执行完毕后还要执行commit方法提交后才会真正生效:
cur.execute('insert into student values (17,"男","熊大")')
conn.commit()
注意,改动数据库可能会遇到报错的情况,上述代码并不完整。通常完整的结构如下:
try:
cur.execute('insert into student values (17,"男","熊大")')
conn.commit() # 提交改动数据的操作
except Exception as e:
print(e) # 遇到报错时打印报错信息或写入日志文件
conn.rollback() # 上述改动数据的操作遇到报错时执行回滚
关于防SQL语句注入要先看案例再来说明:
假设有一个应用,登录时需要用户提供用户名和密码。Python程序收到用户输入的用户名和密码后再提交到MySQL数据库进行比对,若用户名和密码正确则允许登录,错误则拒绝登录。
一、创建测试用的库和表:
create database test_login;
use test_login;
create table login(name char(12),password char(12));
insert into login values('张三','123456');
二、未防范SQL注入的错误代码案例:
import pymysql
with pymysql.connect(host='127.0.0.1', user='你的账户', password='你的密码', database='test_login') \
as conn, conn.cursor() as cur:
usr = input('请输入用户名:')
pwd = input('请输入密码:')
condition = f'select * from login where name="{usr}" and password="{pwd}"'
print(condition)
cur.execute(condition)
if cur.rowcount:
print('登录成功')
else:
print('登录失败')
三、测试SQL注入,在输用户名时输入 1" or 1=1; #,请看下图:
请认真看上面打印的sql语句内容:
select * from login where name="1" or 1=1; #" and password="1"
请注意sql语句中#表示注释后面的全部内容,所以MySQL服务端真正执行的语句如下:
select * from login where name="1" or 1=1;
看到这相信大家都能明白为啥无论密码输入什么都能登录成功,以上就是著名的SQL注入。上面的案例仅仅是示范如何绕过安全验证,实际上通过SQL注入甚至可以删库、删表造成整个系统崩溃。所以我们写代码时必须要防范SQL注入!
四、防范SQL注入的正确代码:
import pymysql
with pymysql.connect(host='127.0.0.1', user='你的账户', password='你的密码', database='test_login') \
as conn, conn.cursor() as cur:
usr = input('请输入用户名:')
pwd = input('请输入密码:')
condition = 'select * from login where name="%s" and password="%s"'
print(condition)
cur.execute(condition, (usr, pwd)) # execute方法有2个参数,第一个是SQL语句,第二个是元组(元组的成员是多个参数)
if cur.rowcount:
print('登录成功')
else:
print('登录失败')
五、测试SQL注入
此时可以看到SQL注入不会生效,请牢记execute防范SQL注入的正确方法!!!写代码务必不要出现可以SQL注入的巨大漏洞!!!
补充一条:可以在用户输入用户名和密码时进行检测,不允许用户名和密码中出现;和#这2个符号。这样也可以有效地防范SQL注入!