上课笔记
重点:(熟练)
多表查询
创建存储过程
原生sql
索引原理
pymysql 封装好的客户端
cursor 底层就是一个send操作
commit 告诉mysql真的要完成修改操作(不然修改不会生效)
execute 执行
查询不需要commit
password(‘123’) 可以得到hash,mysql自带的
sql中--代表注释 后面都无效
sql注入 不需要账号,密码就可登陆网站了
跳过前端筛选,所以在应用程序也要在检测
怎么解决sql注入问题
popen 看一下
cursor.fetchall() 拿到查询的结果 从管道里拿值
ctrl /注释 ctrl shift /解除注释
视图不要改,只是为了方便查询,不需要重复连接
以后视图轻易不要用,查询有变动要联系别人DBA修改,很麻烦,不推荐用,自己的数据库可以用视图
delimiter 重新声明一下sql语句结束标志
结束后需要还原 delimiter;
transaction 事务,交易
但凡遇到转账,交易之类需要用
rollback 回滚 遇到commit回滚就是修改后的数据
存储过程 封装视图,触发器,函数等 直接调用存储过程名
无参存储过程
delimiter $$
create procedure p1()
BEGIN
......
END
delimiter ;
delimiter $$
create procedure p1()
BEGIN
declare n int default 1;
while (n<100) do
insert into s1 values(n,concat('egon',n),'male',concat('egon',n,'@163.com'));
set n = n+1;
end while;
......
END
delimiter ;
基于pymysql模块的增删改查
1.基于pymysql插入操作(有注释)

1 import pymysql 2
3 # 首先要建立和数据库的链接
4 client=pymysql.connect( 5 host='127.0.0.1', 6 port=3306, 7 user='root', 8 password='egon123', 9 database='db6', 10 charset='utf8'
11 ) 12
13 cursor1=client.cursor() # cursor是游标,执行结果默认返回元组
14
15 sql='insert into t1 values(1,"egon");' # 插入sql语句
16 try: 17 res=cursor1.execute(sql) # 执行sql语句
18 print(res) 19 client.commit() # 加上commit告诉mysql需要完成插入修改操作,不加插入不会生效。
20 except Exception: # 如果sql语句执行出现异常捕捉到就执行回滚操作,把执行成功的语句都撤销
21 client.rollback() 22
23 cursor1.close() # 最后记得关闭游标
24 client.close() # 关闭连接
2.-- 是mysql语句中注释
1、sql注入之一:用户存在,绕过密码 egon' -- 任意字符 2、sql注入之二:用户不存在,绕过用户与密码 xxx' or 1=1 -- 任意字符 1=1是True
sql注入 不需要账号,密码就可登陆网站了
现在网站不让输入特殊字符,就是因为这个原因。
跳过前端筛选,所以在应用程序也要在检测。
3.基于pymysql增删操作(有注释)

1 import pymysql 2
3 client=pymysql.connect( 4 host='127.0.0.1', 5 port=3306, 6 user='root', 7 password='egon123', 8 database='db6', 9 charset='utf8'
10 ) 11
12 cursor=client.cursor() 13
14 sql='insert into t1 values(3,"alex"),(4,"lxx");'
15 userinfo=[ 16 (3,"alex"), 17 (4,"lxx"), 18 (5,"yxx") 19 ] 20 for user in userinfo: # 插入操作
21 sql='insert into t1 values(%s,"%s");' %(user[0],user[1]) 22 # print(sql)
23 cursor.execute(sql) # 返回的是执行成功的行数
24
25 sql='insert into t1 values(%s,%s);'
26 cursor.executemany(sql,userinfo) # 插入多条记录,它的运行原理就是循环userinfo。
27
28 cursor.execute('delete from t1 where id=3;') # 删除操作
29
30 client.commit() # 这个想要修改成功必须要加
31
32 cursor.close() 33 client.close()
4.基于pymysql在数据库中进行查询
4.1 存在注入问题的登陆

1 import pymysql 2
3 client=pymysql.connect( 4 host='127.0.0.1', 5 port=3306, 6 user='root', 7 password='egon123', 8 database='db6', 9 charset='utf8'
10 ) 11
12 cursor=client.cursor() 13 #查询
14 inp_user=input('输入账号名: ').strip() 15 inp_pwd=input('输入密码: ').strip() 16 # 在sql语句里password(字符串) 执行hash操作,一般我们不用,都会调用hashlib来完成
17 # sql='select id from user where name = "%s" and pwd = password("%s");' %(inp_user,inp_pwd)
18 sql='select id from user where name = "%s" and pwd = "%s";' %(inp_user,inp_pwd) 19 print(sql) 20 rows=cursor.execute(sql) # 返回的是行数,执行成功rows就不为0,if rows就为True
21 if rows: # rows返回值不为0,就显示登陆成功
22 print('\033[45m登陆成功\033[0m') 23 else: 24 print('\033[46m用户名或密码错误\033[0m') 25
26 cursor.close() # 日常两个关闭操作
27 client.close()
4.2 解决注入问题(有注释)

1 import pymysql 2
3 client=pymysql.connect( 4 host='127.0.0.1', 5 port=3306, 6 user='root', 7 password='egon123', 8 database='db6', 9 charset='utf8'
10 ) 11
12 cursor=client.cursor() 13 #查询
14 inp_user=input('输入账号名: ').strip() 15 inp_pwd=input('输入密码: ').strip() 16
17 # 放到cursor.execute()里,sql语句会把%s自动识别为字符串,不需要再加引号
18 sql='select id from user where name = %s and pwd = %s;'
19 rows=cursor.execute(sql,(inp_user,inp_pwd)) 20 if rows: 21 print('\033[45m登陆成功\033[0m') 22 else: 23 print('\033[46m用户名或密码错误\033[0m') 24
25 cursor.close() 26 client.close()
4.3 获取查询结果

1 # 提交查询语句并且拿到查询结果
2 import pymysql 3
4 client=pymysql.connect( 5 host='127.0.0.1', 6 port=3306, 7 user='root', 8 password='egon123', 9 database='db6', 10 charset='utf8'
11 ) 12
13 cursor=client.cursor(pymysql.cursors.DictCursor) 14 #查询
15
16 sql='select * from user where id > 3'
17 rows=cursor.execute(sql) 18 print(rows) 19 print(cursor.fetchall()) # 获得所有的记录
20 print(cursor.fetchall()) 21
22 print(cursor.fetchone()) # 获得一个记录
23 print(cursor.fetchone()) 24 print(cursor.fetchone()) 25
26 print(cursor.fetchmany(2)) # 获得多个记录,括号里可以指定记录
27 print(cursor.fetchone()) 28
29
30
31
32 print(cursor.fetchall()) 33 # cursor.scroll(0,mode='absolute') # 绝对位置移动
34 # cursor.scroll(1,mode='absolute') # 绝对位置移动
35 print(cursor.fetchall()) 36
37
38 print(cursor.fetchone()) 39 cursor.scroll(2,mode='relative') # 相对当前位置移动
40 print(cursor.fetchone()) 41
42 cursor.close() 43 client.close()