导入pymysql
import pymysql # 创建connect()对象 conn = pymysql.connect( host = '127.0.0.1', port = 3306, user = 'root', password = 'root', database = 'db1', charset = 'utf8' ) # 产生一个游标对象 以字典的形式返回查询出来的数据,键是表的字段,值时字段对应的记录 cursor = conn.cursor(pymysql.cursors.DictCursor) # 编写sql语句,赋值给一个变量 sql = 'select * from teacher' # 执行传入的sql语句 res = cursor.execute(sql) # print(res) # res 是执行语句返回的数据条数 print(cursor.fetchone()) # fetchone只获取一条数据 {'tid': 1, 'tname': '张磊老师'} print(cursor.fetchone()) # 只获取一条数据 {'tid': 2, 'tname': '李平老师'} 获取的是第二条数据,因为游标在移动 # 控制光标移动 cursor.scroll(1,'absolute') # absolute 绝对移动,相对起始位置,往后移动几位 cursor.scroll(1,'relative') # relative 相对移动,现对于当前光标所在位置,往后移动几位 print(cursor.fetchall()) # fetchall获取所有数据,返回的是一个列表 # [{'tid': 1, 'tname': '张磊老师'}, {'tid': 2, 'tname': '李平老师'}, # {'tid': 3, 'tname': '刘海燕老师'}, {'tid': 4, 'tname': '朱云海老师'}, # {'tid': 5, 'tname': '李杰老师'}]
增删改查
import pymysql conn = pymysql.connect( host = '127.0.0.1', port = 3306, user = 'root', password = 'root', database = 'db2', charset = 'utf8', autocommit = True # 这个参数配置后,增删改操作都不会需要手动加conn.commit了 ) cursor = conn.cursor(pymysql.cursors.DictCursor) ''' 增删改操作对于数据库来说都是敏感操作 都必须加一句 conn.commit() ''' # conn.commit() # sql = 'insert into user(id,name,password) values(3,"dazhuang","321")' # 增数据 # sql = 'update user set name = "xiaozhuang" where id = 3' # 改数据 # sql = 'delete from user where id = 3' # 删数据 # cursor.execute(sql) username = input('>>>:') pwd = input('>>>:') sql = "select * from user where name = %s and password = %s" # 查数据 print(sql) # 根据sql语句匹配用户输入的名合密码是否存在 res = cursor.execute(sql,(username,pwd)) # 能帮你自动过滤特殊符号,不免sql注入问题 # execute 能够识别%s并且自动过滤特殊符号 完成sql语句的拼接 print(res) # 若存在 返回的是数据的条数1,不存在返回的是0条数据 # 判断 res 是否有值 if res: print(cursor.fetchall()) else: print('用户名或密码错误')
sql注入问题
sql 注入问题: 就是利用注释等具有特殊意义的符号来利用mysql的漏洞 解决办法: 利用excute帮你去拼接数据 将 sql = "select * from user where name = %s and password = %s" %(username,pwd) 改为: sql = "select * from user where name = %s and password = %s" res = cursor.execute(sql,(username,pwd))
# 不要手动去拼接查询的sql语句 username = input(">>>:").strip() password = input(">>>:").strip() sql = "select * from user where username='%s' and password='%s'"%(username,password) # 用户名正确 username >>>: jason' -- jjsakfjjdkjjkjs # 用户名密码都不对的情况 username >>>: xxx' or 1=1 --asdjkdklqwjdjkjasdljad password >>>: ''