一、模块安装
#安装 pip3 install pymysql
二、链接、执行sql、关闭(游标)
import pymysql user=input('用户名: ').strip() pwd=input('密码: ').strip() #链接 conn=pymysql.connect(host='localhost',user='root',password='123',database='egon',charset='utf8) #指定字符编码,可显示中文 #游标 cursor=conn.cursor() #执行sql语句 sql='select * from userinfo where name="%s" and password="%s"' %(user,pwd) #注意%s需要加引号 print(sql) res=cursor.execute(sql) #执行sql语句,返回sql查询成功的记录数目 print(res) cursor.close() conn.close() if res: print('登录成功') else: print('登录失败')
三、execute()之sql注入
注意:符号--会注释掉它之后的sql,正确的语法:--后至少有一个任意字符
根本原理:就根据程序的字符串拼接name='%s',我们输入一个xxx' -- haha,用我们输入的xxx加'在程序中拼接成一个判断条件name='xxx' -- haha'
最后那一个空格,在一条sql语句中如果遇到select * from t1 where id > 3 -- and name='egon';则--之后的条件被注释掉了 #1、sql注入之:用户存在,绕过密码 egon' -- 任意字符 #2、sql注入之:用户不存在,绕过用户与密码 xxx' or 1=1 -- 任意字符
解决方法:
# 原来是我们对sql进行字符串拼接 # sql="select * from userinfo where name='%s' and password='%s'" %(user,pwd) # print(sql) # res=cursor.execute(sql) #改写为(execute帮我们做字符串拼接,我们无需且一定不能再为%s加引号了) sql="select * from userinfo where name=%s and password=%s" #!!!注意%s需要去掉引号,因为pymysql会自动为我们加上
单条数据执行sql语句 cursor.execute(sql,[user,pwd]) #pymysql模块自动帮我们解决sql注入的问题,只要我们按照pymysql的规矩来。
多条数据执行sql语句
cursor.executemany(sql,[('yuanhao','123'),('laowu','123'),('kgf','12323')])
四、增、删、改:conn.commit()
import pymysql #链接 conn=pymysql.connect(host='localhost',user='root',password='123',database='egon') #游标 cursor=conn.cursor() #执行sql语句 #part1 # sql='insert into userinfo(name,password) values("root","123456");' # res=cursor.execute(sql) #执行sql语句,返回sql影响成功的行数 # print(res) #part2 # sql='insert into userinfo(name,password) values(%s,%s);' # res=cursor.execute(sql,("root","123456")) #执行sql语句,返回sql影响成功的行数 # print(res) #part3 sql='insert into userinfo(name,password) values(%s,%s);' res=cursor.executemany(sql,[("root","123456"),("lhf","12356"),("eee","156")]) #执行sql语句,返回sql影响成功的行数 print(res) conn.commit() #提交后才发现表中插入记录成功 cursor.close() conn.close()
五、查:fetchone,fetchmany,fetchall
import pymysql #链接 conn=pymysql.connect(host='localhost',user='root',password='123',database='egon',charset='utf8') #游标 cursor=conn.cursor()
# cursor=conn.cursor(cursor=pymysql.cursors.DictCursor) 设置查询的结果为字典格式
#执行sql语句 sql='select * from userinfo;' rows=cursor.execute(sql) #执行sql语句,返回sql影响成功的行数rows,将结果放入一个集合,等待被查询
#光标移动 # cursor.scroll(3,mode='absolute') # 相对绝对位置移动,参照数据开头位置,找到索引为3的数据,即第四条 # cursor.scroll(3,mode='relative') # 相对当前位置往后移动3个,负数则往前移
#查单条
res1=cursor.fetchone() # 拿到的结果是元组形式 (1,‘root’,'123456') 执行后,光标移动 res2=cursor.fetchone() # 此时拿到的结果是第二条数据 (2,‘root’,'123456') res3=cursor.fetchone() # 此时拿到的结果是第三条数据 (3,‘root’,'123456')
#查多条 res4=cursor.fetchmany(2) # 同时取2条数据((4,‘root’,'123456'),(5,‘root’,'123456'))
#查所有 res5=cursor.fetchall() print(res1) print(res2) print(res3) print(res4) print(res5) print('%s rows in set (0.00 sec)' %rows) conn.commit() #提交后才发现表中插入记录成功 cursor.close() conn.close() ''' (1, 'root', '123456') (2, 'root', '123456') (3, 'root', '123456') ((4, 'root', '123456'), (5, 'root', '123456')) ((6, 'root', '123456'), (7, 'lhf', '12356'), (8, 'eee', '156')) 8 rows in set (0.00 sec) '''
六、获取插入的最后一条数据的自增ID
import pymysql conn=pymysql.connect(host='localhost',user='root',password='123',database='egon',charset='utf8) cursor=conn.cursor() sql='insert into userinfo(name,password) values("xxx","123");' rows=cursor.execute(sql) conn.commit() print(cursor.lastrowid) #在commit之前和之后都可以查看 cursor.close() conn.close()
七、自定义sqlhelper!
import pymysql class SQLHelper(object): def __init__(self): self.conn = None self.cursor = None def open(self,cursor=pymysql.cursors.DictCursor): self.conn = db_pool.POOL.connection() self.cursor = self.conn.cursor(cursor=cursor) def close(self): self.cursor.close() self.conn.close() def fetchone(self,sql,params): cursor = self.cursor cursor.execute(sql,params) result = cursor.fetchone() return result def fetchall(self, sql, params): cursor = self.cursor cursor.execute(sql, params) result = cursor.fetchall() return result def create(self, sql, params): cursor = self.cursor cursor.execute(sql, params) self.conn.commit() return self.cursor.lastrowid def delete(self, sql, params): cursor = self.cursor cursor.execute(sql, params) self.conn.commit() def update(self, sql, params): cursor = self.cursor cursor.execute(sql, params) self.conn.commit() def __enter__(self): self.open() return self def __exit__(self, exc_type, exc_val, exc_tb): self.close()
with SQLHelper() as helper: result1 = helper.fetchone('select * from users where name=%s and pwd = %s',['hc',123,]) # 查单条记录 result2 = helper.fetchall('select * from users ',[]) #查所有记录 helper.create('insert into user (name,pwd) value(%s,%s)',['hc',123]) # 创建记录
定义函数时,设置参数默认值是注意, 默认参数不要传成可变数据类型
使用时