数据备份与pymysql模块

目录

• 数据备份与pymysql模块
  • 一 IDE工具介绍
  • 二 pymysql模块
    • 1 安装
    • 2 链接、执行sql、关闭(游标)
    • 3 execute()之 sql注入 **
    • 4 增、删、改：conn.commit()
    • 5 查：fetchone(), fetchmany(num), fetchall()
    • 6 获取插入的最后一条数据的自增ID
    • 7 使用like模糊查询

数据备份与pymysql模块

一 IDE工具介绍

	生产环境还是推荐使用mysql命令行，但为了方便我们测试，可以使用IDE工具Navicate。

掌握：
#1. 测试+链接数据库
#2. 新建库
#3. 新建表，新增字段+类型+约束
#4. 设计表：外键
#5. 新建查询
#6. 备份库/表

#注意：
    批量加注释：ctrl+？键
    批量去注释：ctrl+shift+？键

二 pymysql模块

1 安装

pip3 install pymysql

2 链接、执行sql、关闭(游标)

import pymysql

# 链接
conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', password='123', database='tom', charset='utf8mb4')

# 游标(命令行界面的光标) 
cursor = conn.cursor()  # 执行完毕返回的结果集默认以元组显示

# 执行sql语句
# 创建表tom
sql = 'create table tom(id int primary key auto_increment,' \
      'name varchar(20) charset utf8mb4,' \
      'password varchar(20) charset utf8mb4)'
print(sql)
res = cursor.execute(sql)
print(res)

# 更新表tom，并进行操作
sql = 'insert tom(name,password) values(%s,%s);'
print(sql)
res = cursor.execute(sql, ('tom', '123'))  # 执行sql语句，返回sql查询成功的记录数目
conn.commit()  # 提交后才发现表中插入记录成功
print(res)

# 进行查询操作
user = input('用户名: ').strip()
pwd = input('密码: ').strip()
sql = 'select * from tom where name="%s" and password="%s"' % (user, pwd)   # 注意%s需要加引号
res = cursor.execute(sql)  # 执行sql语句，返回sql查询成功的记录数目

cursor.close()
conn.close()

if res:
    print('login successfull')
else:
    print('lohin failed')

3 execute()之 sql注入 **

# 注意：**
	符号--会注释掉它之后的sql，正确的语法：--后至少有一个任意字符。

# 原理：**
	根据程序的字符串拼接name='%s'，我们输入一个 "xxx' -- haha"，用我们输入的xxx加单引号 ‘ 在程序中拼接成一个判断条件name="xxx' -- haha"。

# 最后那一个空格，在一条sql语句中如果遇到select * from tom where id > 3 -- and name='name'; 则--之后的条件被注释掉了。

# 1) sql注入之：用户存在，绕过密码
tom' -- 任意字符

# 2) sql注入之：用户不存在，绕过用户密码
xxx' or 1=1 -- 任意字符

"解决方法："

# 原来是我们对sql进行字符串拼接
# sql="select * from userinfo where name='%s' and password='%s'" %(user,pwd)
# print(sql)
# res=cursor.execute(sql)

# 改写为(execute帮我们做字符串拼接，我们无需且一定不能再为%s加引号了) 
sql="select * from userinfo where name=%s and password=%s" # ！！！注意%s需要去掉引号，因为pymysql会自动为我们加上
res=cursor.execute(sql,[user,pwd]) # pymysql模块自动帮我们解决sql注入的问题，只要我们按照pymysql的规矩来。

4 增、删、改：conn.commit()

import pymysql
#链接
conn=pymysql.connect(host='localhost',user='root',password='123',database='tom')
#游标
cursor=conn.cursor()

#执行sql语句
# part1
# sql='insert into userinfo(name,password) values("root","123456");'
# res=cursor.execute(sql) #执行sql语句，返回sql影响成功的行数
# print(res)

# part2
# sql='insert into userinfo(name,password) values(%s,%s);'
# res=cursor.execute(sql,("root","123456")) #执行sql语句，返回sql影响成功的行数
# print(res)

#part3
sql='insert into userinfo(name,password) values(%s,%s);'
res=cursor.executemany(sql,[("root","123456"),("xxx","12356"),("qqq","156")]) #执行sql语句，返回sql影响成功的行数
print(res)

conn.commit() # 提交后才发现表中插入记录成功
cursor.close()
conn.close()

5 查：fetchone(), fetchmany(num), fetchall()

	"cursor.fetchone()"——>一次获取一个结果；"cursor.fetchmany(num)"——>一次获取多个结果； "*cursor.fetchall()"——>一次获取(剩余) 所有。

​	"cursor.scroll(3,mode='absolute')"——>相对绝对位置移动3；"cursor.scroll(3,mode='relative')"——>相对当前位置移动3。

import pymysql
#链接
conn=pymysql.connect(host='localhost',user='root',password='123',database='egon')
#游标
cursor=conn.cursor()

#执行sql语句
sql='select * from userinfo;'
rows=cursor.execute(sql) # 执行sql语句，返回sql影响成功的行数rows,将结果放入一个集合，等待被查询

# cursor.scroll(3,mode='absolute') # 相对绝对位置移动
# cursor.scroll(3,mode='relative') # 相对当前位置移动
res1=cursor.fetchone()
res2=cursor.fetchone()
res3=cursor.fetchone()
res4=cursor.fetchmany(2)
res5=cursor.fetchall()
print(res1)
print(res2)
print(res3)
print(res4)
print(res5)
print('%s rows in set (0.00 sec)' %rows)

conn.commit() #提交后才发现表中插入记录成功
cursor.close()
conn.close()
'''
(1, 'root', '123456')
(2, 'root', '123456')
(3, 'root', '123456')
((4, 'root', '123456'), (5, 'root', '123456'))
((6, 'root', '123456'), (7, 'lhf', '12356'), (8, 'eee', '156'))
rows in set (0.00 sec)
'''

6 获取插入的最后一条数据的自增ID

	cursor.lastrowid ——>获取插入的最后一条数据的自增ID。

# **cursor.lastrowid**
import pymysql
conn=pymysql.connect(host='localhost',user='root',password='123',database='egon')
cursor=conn.cursor()

sql='insert into userinfo(name,password) values("xxx","123");'
rows=cursor.execute(sql)
print(cursor.lastrowid) # 在插入语句后查看

conn.commit()

cursor.close()
conn.close()

7 使用like模糊查询

7.1 正常查询

# 正常的查询
sql="select * from userinfo where name=%s and password=%s" # ！！！注意%s需要去掉引号，因为pymysql会自动为我们加上
res=cursor.execute(sql,[user,pwd]) # pymysql模块自动帮我们解决sql注入的问题，只要我们按照pymysql的规矩来。

7.2 模糊查询 like

['%'+params+'%'] -->> 模糊查询的参数

# 模糊匹配查询，这个栗子并不恰当，但是方式是对的
sql="select * from userinfo where name like %s and password like %s" # ！！！注意%s需要去掉引号，因为pymysql会自动为我们加上
res=cursor.execute(sql,['%'+user+'%', '%'+pwd+'%']) # pymysql模块自动帮我们解决sql注入的问题，只要我们按照pymysql的规矩来。