Python 代码操作 MySQL
# 先安装 pymysql 模块
import pymysql
conn=pymysql.connect( # 链接 host='localhost',
port=3306, user='root', password='123', database='egon', charset='utf8') # 此处不是utf-8,不加横杠
# 方式一: cursor=conn.cursor() # 生成游标,且执行完毕返回的结果集默认以元组显示
# 方式二:
cursor=conn.cursor(pymysql.cursors.DictCursor) # 以字典的方式 显示数据
# 键是表的字段 值是表的字段对应的信息
# 3.pymysql操作数据库 # 执行sql语句 user = input(">>>:").strip() pwd = input(">>>:").strip() sql='select * from userinfo where name="%s" and password="%s"' %(user,pwd) # 注意%s需要加引号 rows=cursor.execute(sql) # 执行sql语句,有返回值,返回 sql查询成功的记录数目 # 获取真实数据 cursor.fetchone(),cursor.fetchall(),cursor.fetchmany(),类似管道取值,获取一条,所有,多条 cursor.scroll(1,'relative') # 控制光标 相对移动 表示相对于目前所在的位置 向后移动1条数据 cursor.scroll(3,'absolute') # 控制光标 绝对移动 表示相对于数据的起始位置 向后移动3条数据 cursor.close() conn.close()
SQL 注入问题
不要手动去拼接查询的 sql 语句 !!!
sql 注入:就是利用注释等具有特殊意义的符号 来完成一些骚操作
后续写 sql 语句 不要手动拼接关键性的数据
而是让 excute 帮你去做拼接
而是让 excute 帮你去做拼接
username = input(">>>:").strip() password = input(">>>:").strip() sql = "select * from user where username='%s' and password='%s'"%(username,password) # 用户名正确 username >>>: jason' -- jjsakfjjdkjjkjs # 用户名密码都不对的情况 username >>>: xxx' or 1=1 --asdjkdklqwjdjkjasdljad password >>>: ''#### 增删改 # 增 sql = "insert into user(username,password) values(%s,%s)" rows = cursor.excute(sql,('jason','123')) # 修改 sql = "update user set username='jasonDSB' where id=1" rows = cursor.excute(sql) """ 增和改 单单执行 excute 并不会真正影响到数据,需要再执行 conn.commit()才可以完成真正的增改
所以可以在连接时候配置自动提交参数 >>> autocommit = True """
# username = input('username>>>:')
# password = input('password>>>:')
# sql = "select * from user where name = %s and password = %s"
# print(sql)
# res = cursor.execute(sql,(username,password)) # 能够帮你自动过滤特殊符号 避免sql注入的问题
# # execute 能够自动按位置识别 sql 语句中的 %s 帮你做替换 只能识别 %s
# if res:
# print(cursor.fetchall())
# else:
# print('用户名或密码错误')
# 一次插入多行记录 res = cursor.executemany(sql,[(),(),()])