python操作MySQL、SQL注入问题、二次确认、修改表SQL语句补充、视图、触发器、事务、存储过程、函数、流程控制、索引
python操作MySQL
python中支持操作MySQL的模块很多 其中最常见的当属'pymysql'
# 属于第三方模块
pip3 install pymysql
# 基本使用
import pymysql
# 1.链接服务端
conn_obj = pymysql.connect(
host='127.0.0.1', # MySQL服务端的IP地址
port=3306, # MySQL默认PORT地址(端口号)
user='root', # 用户名
password='jason123', # 密码 也可以简写 passwd
database='jp04_3', # 库名称 也可以简写 db
charset='utf8' # 字符编码 千万不要加杠utf-8
) # 要善于查看源码获取信息
查询数据
'''补充说明'''
获取SQL语句执行的结果 跟读取文件内容的read方法几乎一致(光标)
'cursor.fetchone()':获取游标所在处的一行数据,返回元组,没有返回None
'cursor.fetchmany(size)':接受size行返回结果行
'cursor. fetchall()':接收全部的返回结果行。
cursor.scroll(1, 'relative') # 相对于当前位置往后移动一个单位
cursor.scroll(1, 'absolute') # 相对于起始位置往后移动一个单位
fetchone()
从execute()函数的查询结果中取数据,以元组的形式返回游标所在
处的一条数据,如果游标所在处没有数据,将返回空元组,该数据执
行一次,游标向下移动一个位置。
'fetchone()函数必须跟exceute()函数结合使用,并且在exceute()函数之后使用。'
fetchmany()
# 获取结果集中指定的个数
从exceute()函数结果中获取游标所在处的size条数据,并以元组
的形式返回,元组的每一个元素都也是一个由一行数据组成的元组,
如果size大于有效的结果行数,将会返回cursor.arraysize条数
据,但如果游标所在处没有数据,将返回空元组。查询几条数据,游
标将会向下移动几个位置。
'fetmany()函数必须跟exceute()函数结合使用,并且在exceute()函数之后使用。'
fetchall()
获取游标所在处开始及以下所有的数据,并以元组的形式返回,元组
的每一个元素都也是一个由一行数据组成的元组,如果游标所在处没
有数据,将返回空元组。执行完这个方法后,游标将移动到数据库表
的最后。
控制光标
# 移动光标 scroll(value,mode)方法
参数:
当mode='relative'时,代表相对移动,默认值,value就是移动的长度
当value>0向后移动(从位置0移动到位置2),value<0向前移动(比如从位置2移动到位置0)
当mode='absolute'时,代表绝对移动,value就代表移动的绝对位置
value=0就代表移动到位置0处,就是结果集开头,value=3就是移动到位置3处,也就是第4条记录处。
cursor.scroll(1, 'relative') # 相对于当前位置往后移动一个单位
cursor.scroll(1, 'absolute') # 相对于起始位置往后移动一个单位
SQL注入问题
# 写正确的用户名错误的密码也可以登录
用户名:jason' -- jhahsdjasdjasd
密码:直接回车
# 用户名和密码都不需要也可以登录
用户名:xxx' or 1=1 -- asdjasjdkajsd
密码:直接回车
"""上述现象就是典型的SQL注入问题"""
上述情况利用的是MySQL注释语法及逻辑运算符
# 解决SQL注入的问题其实也很简单 就是想办法过滤掉特殊符号
execute方法自带校验SQL注入问题 自动处理特殊符号
ps:设计到敏感数据的拼接 全部交给execute方法即可!!!
sql = "select * from userinfo where name=%s and password=%s;"
cursor.execute(sql, (name, password))
"""
execute方法补充(了解)
批量插入数据
sql = 'insert into userinfo(name,password) values(%s,%s)'
cursor.executemany(sql,[('tom',123),('lavin',321),('pony',333)])
"""
二次确认
"""
数据的增删改查四个操作是有轻重之分的
查 不会影响真正的数据 重要程度最低
增、改、删 都会影响真正的数据 重要程度较高
pymysql针对增、改、删三个操作 都设置了二次确认 如果不确认则不会真正影响数据库
"""
方式1:代码直接编写
affect_row = cursor.execute(sql)
conn_obj.commit() # 手动二次确认
方式2:配置固定参数
conn_obj = pymysql.connect(
autocommit=True # 自动二次确认
)
修改表SQL语句补充
修改表的名字 rename
alter table t1 rename ttt;
添加字段 add
alter table ttt add pwd int;'''默认是尾部追加字段'''
alter table ttt add tid int after name;'''指定追加位置'''
alter table ttt add nid int first;'''指定头部添加字段'''
修改字段 change\modify
alter table ttt change pwd password tinyint;
删除字段 drop
alter table ttt drop nid;
视图
视图的概念
通过SQL语句的执行得到的一张虚拟表 保存下来之后就称之为'视图'
视图的作用
如果需要频繁的使用一张虚拟表 可以考虑制作成视图 降低操作难度
eg: emp与dep表拼接
视图的制作
create view 视图名 as sql语句
# 视图虽然看似很好用 但是会造成表的混乱 毕竟视图不是真正的数据源
# 视图只能用于数据的查询 不能做增、删、改的操作 可能会影响原始数据(视图里面的数据是直接来源于原始表 而不是拷贝一份)
触发器
概念
在对表数据进行增、删、改的具体操作下,自动触发的功能
作用
专门针对表数据的操作 定制个性化配套功能
种类
表数据新增之前、新增之后
表数据修改之前、修改之后
表数据删除之前、删除之后
触发器创建
create trigger 触发器名字 before/after insert/update/delete
on 表名 for each row
begin
SQL语句
end
触发器的名字一般情况下建议采用下列布局形式
tri_after_insert_t1
tri_before_update_t2
tri_before_delete_t3
具体案例(了解)
"""
补充:临时修改SQL语句的结束符
delimiter $$
临时修改的原因是因为触发器 存储过程等技术点 代码中也需要使用分号
如果不修改 则无法书写出完成的代码
"""
1.先创建两张表
# 案例
CREATE TABLE cmd (
id INT PRIMARY KEY auto_increment,
USER CHAR (32),
priv CHAR (10),
cmd CHAR (64),
sub_time datetime, #提交时间
success enum ('yes', 'no') #0代表执行失败
);
CREATE TABLE errlog (
id INT PRIMARY KEY auto_increment,
err_cmd CHAR (64),
err_time datetime
);
2.需求:cmd表插入数据的success如果值为no 则去errlog表中插入一条记录
delimiter $$ # 将mysql默认的结束符由;换成$$
create trigger tri_after_insert_cmd after insert on cmd for each row
begin
if NEW.success = 'no' then # 新记录都会被MySQL封装成NEW对象
insert into errlog(err_cmd,err_time) values(NEW.cmd,NEW.sub_time);
end if;
end $$
delimiter ; # 结束之后记得再改回来,不然后面结束符就都是$$了
3.仅仅往cmd表中插入数据
INSERT INTO cmd (
USER,
priv,
cmd,
sub_time,
success
)VALUES
('kevin','0755','ls -l /etc',NOW(),'yes'),
('kevin','0755','cat /etc/passwd',NOW(),'no'),
('kevin','0755','useradd xxx',NOW(),'no'),
('kevin','0755','ps aux',NOW(),'yes');
触发器其他补充
# 查看当前库下所有的触发器信息
show triggers\G;
# 删除当前库下指定的触发器信息
drop trigger 触发器名称;
事务
事务即 (transaction) ,是数据库系统区别于文件系统的重要
特性之一。在文件系统中,如果我们正在写文件,但是操作系统崩溃
了,那么文件中的数据可能会丢失。但是数据库可以通过事务机制来
确保这一点。
# 事务可以包含诸多SQL语句并且这些SQL语句
# 要么同时执行成功 要么同时执行失败 这是事务的原子性特点
使用事务的目的
事务会把数据库从一中状态转换为另一种状态。在数据库提交工作
时,可以确保要么所有工作都已经保存了,要么所有修改都不保存。
事务的四大特性——ACID
'A:原子性(atomicity)'
所谓原子性,是指整个数据库的每个事务都是不可分割的单位。只
有事务中的所有 SQL 语句都执行成功,才算整个事务成功,事务才
会被提交。如果事务中任何一个 SQL 语句执行失败,整个事务都应
该被回滚。
场景:如在银行取款机取款,要么取款成功、要么取款失败。不能
存在卡里钱扣了,取款机并没有出金额;或者钱取到了,但是
卡里并没有减去该金额。
'C:一致性(consistency)'
所谓一致性,是指将数据库从一种一致性状态转换为下一种一致性
状态。不允许数据库中的数据出现新老数据都有的情况,要么都
是老数据,要么都是新数据。用更书面化的表达就是:数据的完整
性约束没有被破坏。
场景:如在一个用户表中,存在一个身份证号的字段,且身份证号
满足唯一约束条件;如果一个事务对身份证号进行了修改,在事务进
行提交或回滚后,身份号信息变的不具有唯一性了,这就破坏了事务
的一致性。
'I:隔离性(isolation)'
所谓隔离性,是指一个事务的影响在该事务提交前对其他事务都不可见,它通过锁机制来实现。
场景:多个并行交叉的事务间的操作可以相互分离,即多个事务对于其他事务不可见。
'D:持久性(durability)'
所谓持久性,是指事务一旦被提交,其结果就是永久性的。即使发
生宕机等故障,数据库也能将数据恢复。
场景:事务提交后,所有变化都是永久的,即使数据库崩溃而需要
恢复时也能保证恢复后提交的数不会丢失。
具体使用
创建表及录入数据
create table user(
id int primary key auto_increment,
name char(32),
balance int
);
insert into user(name,balance)
values
('jason',1000),
('kevin',1000),
('tank',1000);
事务操作
'隐式的事务':事务没有明显的开启和结束的标记
比如insert、update、delete语句
delete from 表 where id=1;
'显示事务':事物具有明显的开启和结束的标记
'前提':必须先设置自动提交功能为禁用
set autocommit=0;
# 步骤1:开启事务
set autocommit=0;
start transaction;可选的
# 步骤2:编写事务中的sql语句(select、insert、update、delete)
语句1;
语句2;
......
# 步骤3:结束事务
commit;提交事务
rollback;回滚事务
---------------------------------------
开启一个事务的操作
start transaction;
编写SQL语句(同属于一个事务)
update user set balance=900 where name='jason';
update user set balance=1010 where name='kevin';
update user set balance=1090 where name='tank';
事务回滚(返回执行事务操作之前的数据库状态)
rollback; # 执行完回滚之后 事务自动结束
事务确认(执行完事务的主动操作之后 确认无误之后 需要执行确认命令)
commit; # 执行完确认提交之后 无法回滚 事务自动结束
存储过程
定义存储过程
CREATE PROCEDURE:这是创建存储过程的关键字,属固定语法。
sp_customers:这是存储过程名称,当我们执行了该存储过程后,
系统就会出现一个该名称的存储过程,可以自定义。
IN:这是输入参数的意思,当然也有输出参数关键字OUT,同时也可
以不定义参数,直接让参数为空。
cusid INT:这是定义参数名和类型,这里我们定义了一个名为cusid,类型为INT的参数名。
eg:
delimiter $$
create procedure p1()
begin
select * from cmd;
end $$
delimiter ;
调用存储过程
# call p1()
过程体即我们在调用时必须执行的SQL语句
过程体包含DML、DDL语句,if-then-else和while-do语句、声明变量的declare语句等
过程体的格式,以BEGIN开始,以END结尾(可以嵌套)。
例如:
BEGINBEGINBEGIN-- SQL代码;ENDENDEND
"""
类似于有参函数
delimiter $$
create procedure p1(
in m int, # in表示这个参数必须只能是传入不能被返回出去
in n int,
out res int # out表示这个参数可以被返回出去,还有一个inout表示即可以传入也可以被返回出去
)
begin
select tname from userinfo where id > m and id < n;
set res=0; # 用来标志存储过程是否执行
end $$
delimiter ;
# 针对res需要先提前定义
set @res=10; 定义
select @res; 查看
call p1(1,5,@res) 调用
select @res 查看
查看存储过程具体信息
show create procedure pro1;
查看所有存储过程
show procedure status;
删除存储过程
drop procedure pro1;
"""
存储过程的参数
'''
IN输入参数:表示调用者向过程传入值(传入值可以是字面量或变量)
OUT输出参数:表示过程向调用者传出值(可以返回多个值)(传出值只能是变量)
INOUT输入输出参数:既表示调用者向过程传入值,又表示过程向调用者传出值(值只能是变量)
'''
# 以上三个参数的用法,建议:
需要输入值时使用IN参数;
需要返回值时使用OUT参数;
INOUT参数尽量少用。
函数
注意与存储过程的区别,mysql内置的函数只能在sql语句中使用!
"ps:可以通过help 函数名 查看帮助信息!"
# 1.移除指定字符
Trim、LTrim、RTrim
# 2.大小写转换
Lower、Upper
# 3.获取左右起始指定个数字符
Left、Right
# 4.返回读音相似值(对英文效果)
Soundex
"""
eg:客户表中有一个顾客登记的用户名为J.Lee
但如果这是输入错误真名其实叫J.Lie,可以使用soundex匹配发音类似的
where Soundex(name)=Soundex('J.Lie')
"""
# 5.日期格式:date_format
'''在MySQL中表示时间格式尽量采用2022-11-11形式'''
CREATE TABLE blog (
id INT PRIMARY KEY auto_increment,
NAME CHAR (32),
sub_time datetime
);
INSERT INTO blog (NAME, sub_time)
VALUES
('第1篇','2015-03-01 11:31:21'),
('第2篇','2015-03-11 16:31:21'),
('第3篇','2016-07-01 10:21:31'),
('第4篇','2016-07-22 09:23:21'),
('第5篇','2016-07-23 10:11:11'),
('第6篇','2016-07-25 11:21:31'),
('第7篇','2017-03-01 15:33:21'),
('第8篇','2017-03-01 17:32:21'),
('第9篇','2017-03-01 18:31:21');
select date_format(sub_time,'%Y-%m'),count(id) from blog group by date_format(sub_time,'%Y-%m');
1.where Date(sub_time) = '2015-03-01'
2.where Year(sub_time)=2016 AND Month(sub_time)=07;
# 更多日期处理相关函数
adddate 增加一个日期
addtime 增加一个时间
datediff 计算两个日期差值
...
流程控制
# MySQL if判断
if 条件 then
子代码
elseif 条件 then
子代码
else
子代码
end if;
# MySQL while循环
DECLARE num INT ;
SET num = 0 ;
WHILE num < 10 DO
SELECT num ;
SET num = num + 1 ;
END WHILE ;
索引
简介
类似于书的目录。意味着以后再查数据应该先找目录再找数据,而不是用翻页的方式查询数据
索引在MySQL中也叫做“键”,是存储引擎用于快速找到记录的一种数据结构
primary key 主键
unique key 唯一键
index key 索引键
上面三种key前两种除了有加速查询的效果之外还有额外的约束条件
(primary key:非空且唯一,unique key:唯一),而index key没
有任何约束功能只会帮你加速查询
索引的基本用法
id name pwd post_comment addr age
基于id查找数据很快 但是基于addr查找数据就很慢
解决的措施可以是给addr添加索引
'''索引虽然好用 但是不能无限制的创建!!!'''
索引的影响
在表中有大量数据的前提下,创建索引速度会很慢
在索引创建完毕后,对表的查询性能会大幅度提升,但是写的性能会降低
b+树
索引的底层数据结构是b+树
b树 红黑树 二叉树 b*树 b+树
上述结构都是为了更好的基于树查找到相应的数据
只有叶子结点存放真实数据,根和树枝节点存的仅仅是虚拟数据
查询次数由树的层级决定,层级越低次数越少
一个磁盘块儿的大小是一定的,那也就意味着能存的数据量是一定的。如何保证树的层级最低呢?一个磁盘块儿存放占用空间比较小的数据项
思考我们应该给我们一张表里面的什么字段字段建立索引能够降低树的层级高度>>> 主键id字段
聚焦索引(primary key)
将数据存储和索引放到了一块,找到了索引也就找到了数据
一般情况下主键会默认创建聚簇索引,且一张表只允许存在一个聚簇索引。
辅助索引(unique key,index key)
查询数据的时候不可能都是用id作为筛选条件,也可能会用name,
password等字段信息,那么这个时候就无法利用到聚集索引的加速
查询效果。就需要给其他字段建立索引,这些索引就叫辅助索引
'''
叶子结点存放的是辅助索引字段对应的那条记录的主键的值(比如:按
照name字段创建索引,那么叶子节点存放的是:{name对应的
值:name所在的那条记录的主键值})
数据查找 如果一开始使用的是辅助索引 那么还需要使用聚焦索引才
可以获取到真实数据
'''
覆盖索引
只在辅助索引的叶子节点中就已经找到了所有我们想要的数据
select name from user where name='jason';
非覆盖索引
虽然查询的时候命中了索引字段name,但是要查的是age字段,所以还需要利用主键才去查找
select age from user where name='jason';
浙公网安备 33010602011771号