PymySQL

PyMySQL其他操作：

import pymysql

conn = pymysql.connect(
　　host='127.0.0.1',
　　port=3306,
　　user='root',
　　password='123', # 支持简写passwd
　　database='db6', # 支持简写db
　　charset='utf8',
　　autocommit=True # 自动确认
)
cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)
# 默认可以执行查询操作
# sql = 'select * from teacher'
# 默认无法执行插入操作
sql = 'insert into userinfo(name,password) values("tony",222)'
# 默认无法执行修改操作
# sql = 'update userinfo set name="jasonNB" where id=1'
# 默认无法执行删除操作
# sql = 'delete from userinfo where id=4'

'''pymysql模块针对增删改 需要二次确认'''
affect_rows = cursor.execute(sql)
# conn.commit() # 二次确认 提交

# print(affect_rows) # 返回值表示的是执行sql语句之后影响的数据行数
# print(cursor.fetchall()) # 从结果中获取所有的数据
# print(cursor.fetchone()) # 从结果中获取一条数据
# print(cursor.fetchmany(2)) # 从结构中指定获取几条数据
# print(cursor.fetchone())
# cursor.scroll(2, 'relative') # 相对于当前位置左右移动 正数往右 负数往左
# cursor.scroll(2,'absolute') # 相对于起始位置左右移动 正数往右 负数往左
# print(cursor.fetchone())

 

SQL注入：

import pymysql

# 1.先获取用户名和密码
username = input('username>>>:').strip()
password = input('password>>>:').strip()
# 2.链接MySQL
conn = pymysql.connect(
　　host='127.0.0.1',
　　port=3306,
　　user='root',
　　password='123', # 支持简写passwd
　　database='db6', # 支持简写db
　　charset='utf8',
　　autocommit=True # 自动确认
)
cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)
# 3.拼接查询sql语句
sql = "select * from userinfo where name=%s and password=%s"
print(sql)

'''pymysql模块针对增删改 需要二次确认'''

# affect_rows = cursor.execute(sql, (username, password))
# 如果想一次性插入多条数据 可以使用下面的方法
affect_rows = cursor.executemany(sql, [('jason', 123), ('jason1', 123), ('jason2', 321), ('jason3', 222)])
res = cursor.fetchall()
if res:
print(res, '登录成功')
else:
print('用户名或密码错误')

"""
现象1
只需要用户名正确即可
select * from userinfo where name='jasonNB' -- ajsdkjaskldjklasd' and password=''
现象2
用户名密码都不需要也可以
select * from userinfo where name='xxx' or 1=1 -- jkasdjaksldklsajd' and password=''
"""

#############################################################
利用一些特殊符号和特殊语法的形式拼接出违背常理的语句
如何解决上述现象
在SQL注入中涉及到关键性的数据不要自己手动拼接
交由固定的方法拼接(方法会自动过滤掉特殊符号)
#############################################################

sql = "select * from userinfo where name=%s and password=%s"
'''pymysql模块针对增删改 需要二次确认'''
affect_rows = cursor.execute(sql, (username, password))

 

用户管理：

1.创建用户

　　create user 用户名 identified by '密码';

　　"""修改密码"""
　　set password for 用户名 = Password('新密码');
　　set password = Password('新密码'); # 针对当前登录用户
2.重命名
　　rename user 新用户名 to 旧用户名;
3.删除用户
　　drop user 用户名;
4.查看用户访问权限
　　show grants for 用户名;
5.授予访问权限
　　grant select on db1.* to 用户名;
# 授予用户对db1数据库下所有表使用select权限
6.撤销权限
revoke select on db1.* from 用户名;
"""
整个服务器
　　grant all/revoke all
整个数据库
　　on db.*
特定的表
　　on db.t1
"""

事务：

四大特性:ACID
　　A:原子性
　　　　一个事务是一个完整的整体 不能分割 要么同时成功要么同时失败
　　C:一致性
　　　　一致性是指事务必须使数据库从一个一致性状态变换到另一个一致性状态
　　I:独立性
　　　　事务与事务彼此不干扰 相互独立
　　D:持久性
　　　　事务一旦被提交了，那么对数据库中的数据的改变就是永久性的

create table user(
　　id int primary key auto_increment,
　　name char(32),
　　balance int
);

insert into user(name,balance)
values
('jason',1000),
('kevin',1000),
('tony',1000);

# 修改数据之前先开启事务操作
start transaction;

# 修改操作
update user set balance=900 where name='jason'; #买支付100元
update user set balance=1010 where name='kevin'; #中介拿走10元
update user set balance=1090 where name='tony'; #卖家拿到90元

# 回滚到上一个状态
rollback;
# 确认事务没有问题
commit; # 确认之后就无法再回退

 

视图：

# 1、什么是视图
　　视图就是通过查询得到一张虚拟表，然后保存下来，下次直接使用即可
# 2、为什么要用视图
　　如果要频繁使用一张虚拟表，可以不用重复查询
# 3、如何用视图
　　create view teacher2course as
　　select * from teacher inner join course on teacher.tid = course.teacher_id;
'''视图虽然好用但是不推荐使用!!!'''

 

触发器：

在满足对某张表数据的增、删、改的情况下，自动触发的功能称之为触发器
# 为何要用触发器
　　触发器专门针对我们对某一张表数据增insert(前后)、删delete(前后)、改update(前后)的行为，这类行为一旦执行就会触发触发器的执行，即自动运行另外一段sql代码

"""
语法结构
create trigger 触发器的名字 before/after insert/update/delete on 表名 for each row
begin
sql语句
end
针对触发器的名字有一个小习惯
tri_before_insert_t1
触发器简写_之前或之后_操作_表名
"""
# 案例
CREATE TABLE cmd (
id INT PRIMARY KEY auto_increment,
USER CHAR (32),
priv CHAR (10),
cmd CHAR (64),
sub_time datetime, #提交时间
success enum ('yes', 'no') #0代表执行失败
);

CREATE TABLE errlog (
id INT PRIMARY KEY auto_increment,
err_cmd CHAR (64),
err_time datetime
);

delimiter $$ # 将mysql默认的结束符由;换成$$
create trigger tri_after_insert_cmd after insert on cmd for each row
begin
if NEW.success = 'no' then # 新记录都会被MySQL封装成NEW对象
insert into errlog(err_cmd,err_time) values(NEW.cmd,NEW.sub_time);
end if;
end $$
delimiter ; # 结束之后记得再改回来，不然后面结束符就都是$$了

#往表cmd中插入记录，触发触发器，根据IF的条件决定是否插入错误日志
INSERT INTO cmd (
USER,
priv,
cmd,
sub_time,
success
)
VALUES
('jason','0755','ls -l /etc',NOW(),'yes'),
('jason','0755','cat /etc/passwd',NOW(),'no'),
('jason','0755','useradd xxx',NOW(),'no'),
('jason','0755','ps aux',NOW(),'yes');

# 查询errlog表记录
　　select * from errlog;
# 删除触发器
　　drop trigger tri_after_insert_cmd;

 

存储过程：

# 相对于python中的自定义函数
delimiter $$
create procedure p1()
begin
select * from cmd;
end $$
delimiter ;

# 调用
call p1()

 

函数：

# 相对于pythpn中的内置方法
"ps:可以通过help 函数名 查看帮助信息!"
# 1.移除指定字符
Trim、LTrim、RTrim

# 2.大小写转换
Lower、Upper

# 3.获取左右起始指定个数字符
Left、Right

# 4.返回读音相似值(对英文效果)
Soundex
"""
eg:客户表中有一个顾客登记的用户名为J.Lee
但如果这是输入错误真名其实叫J.Lie,可以使用soundex匹配发音类似的
where Soundex(name)=Soundex('J.Lie')
"""

# 5.日期格式:date_format
'''在MySQL中表示时间格式尽量采用2022-11-11形式'''
CREATE TABLE blog (
id INT PRIMARY KEY auto_increment,
NAME CHAR (32),
sub_time datetime
);
INSERT INTO blog (NAME, sub_time)
VALUES
('第1篇','2015-03-01 11:31:21'),
('第2篇','2015-03-11 16:31:21'),
('第3篇','2016-07-01 10:21:31'),
('第4篇','2016-07-22 09:23:21'),
('第5篇','2016-07-23 10:11:11'),
('第6篇','2016-07-25 11:21:31'),
('第7篇','2017-03-01 15:33:21'),
('第8篇','2017-03-01 17:32:21'),
('第9篇','2017-03-01 18:31:21');
select date_format(sub_time,'%Y-%m'),count(id) from blog group by date_format(sub_time,'%Y-%m');

1.where Date(sub_time) = '2015-03-01'
2.where Year(sub_time)=2016 AND Month(sub_time)=07;
# 更多日期处理相关函数
　　adddate 增加一个日期
　　addtime 增加一个时间
　　datediff 计算两个日期差值
　　...

 

流程控制：

# if条件语句
　　if i = 1 THEN
　　　　SELECT 1;
　　ELSEIF i = 2 THEN
　　　　SELECT 2;
　　ELSE
　　　　SELECT 7;
　　END IF;

# while循环语句
　　SET num = 0 ;
　　　　WHILE num < 10 DO
　　SELECT
　　　　num ;
　　SET num = num + 1 ;
　　　　END WHILE ;