PyMySQL

安装pymysql第三方包:

sudo pip3 install pymysql

pymysql的使用:

1.导入 pymysql 包

import pymysql

2.创建连接对象

调用pymysql模块中的connect()函数来创建连接对象,代码如下:

conn = pymysql.connect(参数列表)

 * 参数host：连接的mysql主机，如果本机是'localhost'
 * 参数port：连接的mysql主机的端口，默认是3306
 * 参数user：连接的用户名
 * 参数password：连接的密码
 * 参数database：数据库的名称
 * 参数charset：通信采用的编码方式，推荐使用utf8

连接对象操作说明:

• 关闭连接 conn.close()
• 提交数据 conn.commit()
• 撤销数据 conn.rollback()

3.获取游标对象

获取游标对象的目标就是要执行sql语句，完成对数据库的增、删、改、查操作。代码如下:

 # 调用连接对象的cursor()方法获取游标对象   
cur = conn.cursor()

游标操作说明:

• 使用游标执行SQL语句: execute(operation [parameters ]) 执行SQL语句，返回受影响的行数，主要用于执行insert、update、delete、select等语句
• 获取查询结果集中的一条数据:cur.fetchone()返回一个元组, 如 (1,'张三')
• 获取查询结果集中的所有数据: cur.fetchall()返回一个元组,如((1,'张三'),(2,'李四'))
• 关闭游标: cur.close(),表示和数据库操作完成

pymysql完成数据的查询操作:

import pymysql

# 创建连接对象
conn = pymysql.connect(
    host='localhost',
    port=3306,
    user='root',
    password='abyss',
    database='jing_dong',
    charset='utf8'
)

# 获取游标对象
cursor = conn.cursor()

# SQL语句
sql = "select name,price from goods where cate_id = 1;"

# 执行 SQL 语句,返回值是 SQL 语句在执行过程中影响的行数
res_count = cursor.execute(sql)

print("SQL语句查询数量{}".format(res_count))

# print(cursor.fetchone())

for line in cursor.fetchall():
    print(line)

# 关闭游标
cursor.close()

# 关闭连接
conn.close()

pymysql完成对数据的增删改

import pymysql

# 创建连接对象
conn = pymysql.connect(
    host='localhost',
    port=3306,
    user='root',
    password='abyss',
    database='jing_dong',
    charset='utf8'
)

# 获取游标对象
cursor = conn.cursor()

try:
    # 添加语句
    # sql = "insert into good_cates values(0,'超级计算机');"

    # 删除语句
    # sql = "delete from good_cates where id = 8;"

    # 修改语句
    sql = "update good_cates set name = '超极本/超级计算机' where id = 7;"

    # 执行语句
    row_count = cursor.execute(sql)
    print('行数{}'.format(row_count))

    # 提交数据到数据库
    conn.commit()

except Exception as e:
    # 回滚数据,取消刚刚的SQL语句操作
    conn.rollback()

cursor.close()

conn.close()

防止SQL注入

1.什么是SQL注入?

用户提交带有恶意的数据与SQL语句进行字符串方式的拼接，从而影响了SQL语句的语义，最终产生数据泄露的现象。

2.如何防止SQL注入?

SQL语句参数化

• SQL语言中的参数使用%s来占位，此处不是python中的字符串格式化操作
• 将SQL语句中%s占位所需要的参数存在一个列表中，把参数列表传递给execute方法中第二个参数

防止SQL注入的示例代码:

from pymysql import connect

def main():

    find_name = input("请输入物品名称：")

    # 创建Connection连接
    conn = connect(host='localhost',port=3306,user='root',password='mysql',database='jing_dong',charset='utf8')
    # 获得Cursor对象
    cs1 = conn.cursor()

    # 非安全的方式
    # 输入 ' or 1 = 1 or '   (单引号也要输入)
    # sql = "select * from goods where name='%s'" % find_name
    # print("""sql===>%s<====""" % sql)
    # # 执行select语句，并返回受影响的行数：查询所有数据
    # count = cs1.execute(sql)

    # 安全的方式
    # 构造参数列表
    params = [find_name]
    # 执行select语句，并返回受影响的行数：查询所有数据
    count = cs1.execute("select * from goods where name=%s", params)
    # 注意：
    # 如果要是有多个参数，需要进行参数化
    # 那么params = [数值1, 数值2....]，此时sql语句中有多个%s即可
    # %s 不需要带引号

    # 打印受影响的行数
    print(count)
    # 获取查询的结果
    # result = cs1.fetchone()
    result = cs1.fetchall()
    # 打印查询的结果
    print(result)
    # 关闭Cursor对象
    cs1.close()
    # 关闭Connection对象
    conn.close()

if __name__ == '__main__':
    main()