一:Navicate的安装
1.什么是navicate?
Navicat是一套快速、可靠并价格相宜的数据库管理工具,专为简化数据库的管理及降低系统管理成本而设。
它的设计符合数据库管理员、开发人员及中小企业的需要。Navicat 是以直觉化的图形用户界面而建的,
让你可以以安全并且简单的方式创建、组织、访问并共用信息。
简单的来说,我们刚开始是在命令行里面进行MySQL操作,但是我们目前接触的要求不多,如果是很长很复杂的命令怎么办,所以呢,就如python中的pycharm一样,当notepad++不能够满足你的要求的时候,就与一款新的软件来替代它,这里呢,简单说一下navicate的安装
2.安装
Navicat,用于连接数据库,
- 查找
- 修改
- 根性
....
# 点点点: -> SQL语句
下载软件:在官网上下载Navicat ,下载之后按照提示一直下一步就行,当然有英文版和中文版的,我这里使用的是破解版的中文版,
简化简单操作
创建表
修改表结构
插入
查询
更新
删除
我使用之后感觉功能在我们用命令行的时候差不多,但是这里简化了很多,很方便,而且也更多的功能,具体的效果大家可以实际操作以后就会感觉到,
二:python操作MySQL
2.1 下载安装
首先呢,要想在pycharm中使用MySQL就要安装这个软件
pip3 install pymysql 这是一条执行命令,就是通过pip3来安装pymysql这个模块,前提注意的是要在环境里面添加pip3这个路径,一定要注意,或者直接是在pycharm中settings这一项里面直接添加
2.2 操作使用
2.21 基本通过pymysql来执行一个MySQL语句 来看一下代码
import pymysql #创建连接 conn = pymysql.connect(host = "127.0.0.1",port = 3306,user = "root",passwd = "123456",db = "lianxi",charset = "utf8") #创建游标 cursor = conn.cursor() cursor.execute("insert into class(caption) values('全栈二期')")
#其实这里是受影响的行数,因为加入了一条所以呢这里的r结果就是 1 #r = cursor.execute("select * from student where sid = 2") #print(r) #print(cursor.fetchone()) conn.commit() #提交 #关闭游标 cursor.close() #关闭连接 conn.close()
2.3 pymysql 之增删改查
先来看一下在pymysql中连接的问题,直接来看代码其中有详细的注释
import pymysql #创建连接 conn = pymysql.connect(host = "127.0.0.1",port = 3306,user = "root",passwd = "123456",db = "lianxi",charset = "utf8") #创建游标 cursor = conn.cursor() #受影响的行数 #r = cursor.execute("select * from student where sid = 2") #print(r) #print(cursor.fetchone()) #字符串拼接sql,这里测试可以执行,禁止操作,但是这里不可以还有另外一种看下面 # inp = input("请输入班级:") # sql = ""insert into class(caption) values('%s') # sql = sql %(inp,) # r = cursor.execute(sql) # print(r) #参数传递,必须使用参数的形式,因为上面的有可能会造成SQL注入, inp = input("请输入班级:") #注意这里最后面的%s的"",在这里是不需要加的,因为这里内部已经帮你拼接了 r = cursor.execute("insert into class(caption) values('%s')",inp) r = cursor.execute("insert into class(caption) values(%s)",inp) conn.commit() #提交 #关闭游标 cursor.close() #关闭连接 conn.close()
#插入多条的时候直接加上一个元组就行 r = cursor.execute("insert into student(gender,class_id,sname) values(%s,%s,%s)",("女",1,"鸭蛋"))
r = cursor.execute("update student set sname = %s where sid = %s",("马打狗",1))
r = cursor.execute("delete from score where sid = %s",(49,)) conn.commit() #提交
切记,这些增删改数据 都是在连接和连接已经建立好的情况下才执行的,当然还有 在每一次命令执行之后必须有commit提交才能有结果
但是呢,还有一点在下面的查 里面执行命令操作的时候是不需要commit的可看下面代码
把里面的数据全部拿出来 以元组的形式 # result = cursor.fetchall() # print(result) #只拿第一条数据 # result = cursor.fetchone() # print(result) #这里如果再写这样一条数据那么拿到的就是第二条数据,再写就是第三条数据依次类推 #其实也就是相当于一个指针,拿到一个继续往下一移一个 # result = cursor.fetchone() # print(result) #可指定拿几条数据 result = cursor.fetchmany(3) print(result)
在fetch数据时按照顺序进行,可以使用cursor.scroll(num,mode)来移动游标位置,如: cursor.scroll(1,mode='relative') # 相对当前位置移动 cursor.scroll(2,mode='absolute') # 相对绝对位置移动 result = cursor.fetchone() print(result) #绝对的,就是回到前面所定义的位子 #cursor.scroll(0,mode='absolute') #这里面可以写2表示相对的向下移动2位,如果写-2表示向上移动2位 cursor.scroll(2,mode='relative') #这里如果再写这样一条数据那么拿到的就是第二条数据,再写就是第三条数据依次类推 #其实也就是相当于一个指针,拿到一个继续往下一移一个 result = cursor.fetchone() print(result)
2.4 获取新创建数据自增ID
#!/usr/bin/env python # -*- coding:utf-8 -*- import pymysql conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', passwd='123', db='t1') cursor = conn.cursor() cursor.executemany("insert into hosts(host,color_id)values(%s,%s)", [("1.1.1.11",1),("1.1.1.11",2)]) conn.commit() cursor.close() conn.close() # 获取最新自增ID new_id = cursor.lastrowid
2.5 fetch 数据类型
关于默认获取的数据是元祖类型,如果想要或者字典类型的数据,即: #!/usr/bin/env python # -*- coding:utf-8 -*- import pymysql conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', passwd='123456', db='lianxi') # 游标设置为字典类型 cursor = conn.cursor(cursor=pymysql.cursors.DictCursor) r = cursor.execute("call p1()") result = cursor.fetchone() conn.commit() cursor.close() conn.close()
r = cursor.execute("select * from tb6666") print(cursor.fetchall()) 结果为: ((1, 'alex', 9, 'asasa', 'qqqqq', 'df'), (2, 'uu', 8, 'wr', 'wwww', 'df'), 是以元组的形式存在的
但是如果加上这样一句话
cursor = conn.cursor(cursor=pymysql.cursors.DictCursor) r = cursor.execute("select * from tb6666") print(cursor.fetchall()) 结果为: [{'name': 'alex', 'pwd': 'qqqqq', 'nid': 1, 'num': 9, 'user': 'df', 'email': 'asasa'},
拿到的就是以字典的形式存的
2.6 sql注入问题
在我们使用用户密码登录的时候,使用字符串连接可能会照成SQL注入问题,因此,不能使用子字符串连接,下面就来简单了解一下原因,先来看一个简单得多例子,
import pymysql #创建连接 conn = pymysql.connect(host = "127.0.0.1",port = 3306,user = "root",passwd = "123456",db = "sss",charset = "utf8") #创建游标 cursor = conn.cursor() cursor.execute("select name,pwd from userino where name = %s and pwd = %s ",("alex",123)) result = cursor.fetchone() print(result) conn.commit() #提交 #关闭游标 cursor.close() #关闭连接 conn.close
我们通过执行代码就可以拿到我们想要的结果,此时注意一点在代码中的%s这一个地方,这里没有"",是因为pycharm内部已经帮我们加上了引号“”,但是字符串连接为什么就有可能出问题呢来看下面
sql = 'select name,pwd from userino where name = "%s" and pwd = "%s "' sql = sql %("alex",123) cursor.execute(sql) result = cursor.fetchone() print(result)
执行这个代码也能得到结果,但是如果我改一下呢,看看有什么效果,来看下面的代码
sql = 'select name,pwd from userino where name = "%s" and pwd = "%s "' sql = sql %('alex" or 1=1 -- ',1235) cursor.execute(sql) result = cursor.fetchone() print(result) 这里执行完以后也能拿到你想要的结果,但是是为什么呢?里面的 or 1=1 其实也可以不要,这就是我们得SQL注入
因为在SQL语句中我们得注释是-- ,所以呢在上面的代码中,我们得前一部分如果带入到name那一项中-- 就会把后面的那一部分注释掉,
所以只要拿到一个正确的名字就可以拿到密码,这就是最基本的SQL注入,
还有一点上面的or 1=1 是什么意思?就是说如果你写的名字不是Alex写成其他的也行但是没有影响因为你后面有or 1= 1
相当于你无论写什么这个条件都是成立的,都会拿到结果,
所以说呢,在这里不能这样用。