第一步:安装pymysql模块
可以在cmd命令行敲....pip3 install pymysql
也可以在pycham中添加
然后上代码:
import pymysql
#连接上数据库 conn=pymysql.Connect( host="localhost", user="root", password="123", database="user", charset="utf8" )
#建立一个游标 cursor=conn.cursor(cursor=pymysql.cursors.DictCursor)
sql="select * from emp"
res=cursor.execute(sql)#execute 执行 括号里直接跟sql语句,我们可以向这个样赋值给一个变量,然后再执行 print(res) # 打印出来的不是结果,而是受影响的条数 # re=cursor.fetchall() #调用这个方法获取全部内容 re=cursor.fetchone() # 这个方法就是获取第一条内容 print(re)
#下面的操作就是关闭连接了。 cursor.close() conn.close()
这就是一个最简单的python连接数据库进行查询的最简单的操作,下面来扩展一下
我们要先在数据库里建立一个用户表,存放用户名个密码
import pymysql #链接 conn=pymysql.connect( host='localhost', user='root', password='123', database='egon', charset='utf8') #游标 cursor=conn.cursor() #执行完毕返回的结果集默认以元组显示 #cursor=conn.cursor(cursor=pymysql.cursors.DictCursor) # 以字典的方式显示数据 # 3.pymysql操作数据库 #执行sql语句 user = input(">>>:").strip() pwd = input(">>>:").strip() sql='select * from userinfo where name="%s" and password="%s"' %(user,pwd) #注意%s需要加引号 rows=cursor.execute(sql) #执行sql语句,返回sql查询成功的记录数目
# 获取真实数据cursor.fetchone(),cursor.fetchall(),cursor.fetchmany(),类似管道取值,获取一条,所有,多条 cursor.scroll(1,'relative') # 相对移动
#当前位置往后数一条取开始取数据 cursor.scroll(3,'absolute') # 绝对移动
#从文件开头数,第三条数据后开始取 cursor.close() conn.close()
SQL注入
基于以上的代码,会出现一个问题:
我们称为 SQL注入:
# 用户名正确 username >>>: root' -- jjsakfjjdkjjkjs # 用户名密码都不对的情况 username >>>: xxx' or 1=1 --asdjkdklqwjdjkjasdljad password >>>: ''
为什么会出现这种问题,我们首先应该想到, “--” 在sql中代表的是什么?
“-- ” 就是注释的意思,将sql后面的语句注释了
下面的 1=1,条件为真,为真的话自然就可以直接获取到我们需要的数据了
怎么解决这个问题呢?
sql有一个自动完成拼接的方法,就是把username和password 写在执行语句的后面
import pymysql conn=pymysql.connect( host='localhost', user='root', password='123', database='user' ) cursor=conn.cursor(pymysql.cursors.DictCursor) user=input('>>>:') pwd=input('>>>:') sql="select * from user where username=%s and password=%s" res=cursor.execute(sql,(user,pwd)) if res: print('登录成功') else: print( '登录失败' ) cursor.close() conn.close()
基于上面的内容我们可以实现增删改的操作
# 增 sql = "insert into user(username,password) values(%s,%s)" rows = cursor.excute(sql,('jason','123')) # 修改 sql = "update user set username='jasonDSB' where id=1" rows = cursor.excute(sql) """ 增和改单单执行excute并不会真正影响到数据,需要再执行conn.commit()才可以完成真正的增改 """ # 一次插入多行记录 res = cursor,excutemany(sql,[(),(),()]
可能有的人执行到这来发现数据库的信息并没有变化~
原因很简单,增和改单单执行excute并不会真正影响到数据,需要再执行conn.commit()才可以完成真正的增改
我们需要在执行语句后加入 conn.commit()
然后在看看执行后的数据库有没有发生变化
import pymysql conn=pymysql.connect(host='localhost',user='root',password='123',database='user') cursor=conn.cursor() sql="insert into user(username,password) values(%s,%s)"
#插入用户数据 cursor.executemany(sql,[('user1','123'),('user2','123'),('user3','123'),]) conn.commit() cursor.close() conn.close()