• pymysql


    python代码连接mysql数据库

    有bug(sql注入的问题):

    #pip3 install pymysql
    import pymysql
    
    user=input('user>>: ').strip()
    pwd=input('password>>: ').strip()
    
    # 建立链接
    conn=pymysql.connect(
        host='192.168.10.15',
        port=3306,
        user='root',
        password='123',
        db='db9',
        charset='utf8'
    )
    
    # 拿到游标
    cursor=conn.cursor()
    
    # 执行sql语句
    
    sql='select * from userinfo where user = "%s" and pwd="%s"' %(user,pwd)
    rows=cursor.execute(sql)
    
    cursor.close()
    conn.close()
    
    # 进行判断
    if rows:
        print('登录成功')
    else:
        print('登录失败')

    在sql语句中 --空格 就表示后面的被注释了,所以密码pwd就不验证了,只要账户名对了就行了,这样跳过了密码认证就是sql注入

     这样的连用户名都不用知道都可以进入,所以在注册账户名时好多特殊字符都不让使用,就怕这个.

    改进版(防止sql注入):

    #pip3 install pymysql
    import pymysql
    
    user=input('user>>: ').strip()
    pwd=input('password>>: ').strip()
    
    # 建立链接
    conn=pymysql.connect(
        host='192.168.10.15',
        port=3306,
        user='root',
        password='123',
        db='db9',
        charset='utf8'
    )
    
    # 拿到游标
    cursor=conn.cursor()
    
    # 原来的执行sql语句
    
    # sql='select * from userinfo where user = "%s" and pwd="%s"' %(user,pwd)
    # print(sql)
    # 现在的
    sql='select * from userinfo where user = %s and pwd=%s'
    rows=cursor.execute(sql,(user,pwd))
    #原来是在sql中拼接,现在是让execute去做拼接user和pwd
    
    cursor.close()
    conn.close()
    
    # 进行判断
    if rows:
        print('登录成功')
    else:
        print('登录失败')

    增删改:先安装pymysql模块(pip install pymysql)

    #1、增删改
    import pymysql
    
    # 建立链接
    conn=pymysql.connect(
        host='127.0.0.1',#本地连接时就用127.0.0.1,如果远程连接时就查一下对方ip再写进来
        port=3306,
        user='root',
        password='123',
        db='db9',
        charset='utf8'
    )
    
    # 拿游标
    cursor=conn.cursor()
    
    # 执行sql
    # 增、删、改
    sql='insert into user(user,pwd) values(%s,%s)'#增删改就自己写sql语句即可,insert,update,drop
    #插入一条
    # rows=cursor.execute(sql,('wxx','123'))
    # print(rows)
    
    #插入多条
    # rows=cursor.executemany(sql,[('yxx','123'),('egon1','111'),('egon2','2222')])
    # print(rows)
    
    rows=cursor.executemany(sql,[('egon3','123'),('egon4','111'),('egon5','2222')])
    print(cursor.lastrowid)#查看你当前id走到了多少,如果是7,那么你再插入数据时,id就从7开始
    
    conn.commit()#必须加这个才能保存,否则增删改不保存
    # 关闭
    cursor.close()
    conn.close()

    查询:

    # 2、查询
    import pymysql
    
    # 建立链接
    conn=pymysql.connect(
        host='127.0.0.1',
        port=3306,
        user='root',
        password='123',
        db='db9',
        charset='utf8'
    )
    
    # 拿游标
    # pymysql.cursors.DictCursor写这个当你拿到查询数据时会以字典形式显示,
    # 字段名是键,字段内容是值,如果不写只写conn.cursor(),
    # 你拿到的就是一个大元组,都是字段的内容,没有字段的名,你不知道是什么数据
    cursor=conn.cursor(pymysql.cursors.DictCursor)
    
    # 执行sql
    # 查询
    # 实际上就是你cursor已经将sql查询的内容已经写到固定地方了,
    # 每次你都是你那里拿数据,拿一次光标走一次,跟读文件很类似
    rows=cursor.execute('select * from user;')
    print(rows)#只显示受影响行数,而没有其他内容
    
    #取法一,fetchone只拿一条
    print(cursor.fetchone())#拿到第一条内容
    print(cursor.fetchone())#拿到第二条内容,一次只取一条内容
    print(cursor.fetchone())#取空了,再取就会显示None
    
    #取法二,fetchmany拿多条
    print(cursor.fetchmany(2))#指定取几条数据
    
    #取法三:fetchall全部拿出
    print(cursor.fetchall())#拿出所有内容
    print(cursor.fetchall())#再拿就显示[]而不是None
    
    #移动光标,再取
    # 现在你可以移动光标,让你取完内容后可以再取一遍
    cursor.scroll(3,mode='absolute') # 相对绝对位置移动,
    # 相当于从头开始,光标移动到从头数第三行记录的末尾,你再取就从id=4开始取
    print(cursor.fetchone())
    
    cursor.scroll(2,mode='relative') # 相对当前位置移动
    # 向后跳,如果你当前id=1,你执行后再取就会变成id=4,把2和3两行跳过了
    print(cursor.fetchone())
    
    # 关闭
    cursor.close()
    conn.close()
  • 相关阅读:
    代码发布一
    Qt之QThread(深入理解)
    Azure 云助手正式发布
    Qt之自定义控件(开关按钮)
    CentOS 7.x安装配置
    CSDN中的Bug
    Qt之findChild
    CentOS 6.x启动时网卡eth0未激活
    CentOS 6.x安装配置
    CentOS所有下载
  • 原文地址:https://www.cnblogs.com/shengjunqiye/p/12781630.html
Copyright © 2020-2023  润新知