視圖是什么?
本質是一張虛擬表,他的數據來自select語句。
作用:
功能1:隱藏部分數據,開放指定的數據
功能2:因為視圖可以將查詢的結果保存特性,我可以用視圖來達到減少書寫sql的次數
例如:select *from emp where dept_id=(select id from dept where name=”市場”);
要查詢市場的人,將查詢的結果作為一個試圖,以后使用到這個需求就可以直接查看試圖。
如何使用:
創建試圖:
Create view test_view as select *from t1;
特點:
- 每次對視圖進行的查詢,其實都是在次執行了as后面的小哈尋語句
- 可以對視圖進行修改,修改會同步到原表
- 視圖是永久保存的,存儲的不是數據,而是一條as sql語句
基本不使用視圖,因為你的程序開放的數據不是開放sql 語句,而開放的是查詢結果
Sql注入問題
import pymysql conn = pymysql.Connect( user="root", password="admin", host="localhost", database="day43", charset="utf8" ) cursor = conn.cursor(pymysql.cursors.DictCursor) #sql = "select *from user where user = '%s' and pwd = '%s';" % (input("input userName"),input("input password")) # 當用戶輸入的用戶名為字符串 為 yy' -- 時 # 最終產生的sql select *from user where user = 'yy' -- ' and pwd = '987657890'; # -- 用於mysql注釋 意思是 后面的內容忽略掉 # 從而導致 密碼是否正確都能登錄成功 # "select *from user where user = 'axxax' or 1=1; #print(sql) count = cursor.execute("select *from user where user = %s and pwd = %s;",args=(input("user"),input("pwd"))) print(count) if count: print("login success") else: print("login error") cursor.close() conn.close()
Sql注入攻擊,是什么意思?
一些了解授權sql語法的用戶可以輸入一些關鍵字或合法的sql語句,來導致原始sql邏輯發生變化,從而跳過登陸驗證或者刪除數據庫。
如何避免:在接受用戶輸入的數據時,可以加上限制,比如不能輸入 --’;where等等
上面這種方式只能避免黑客從你的客戶端和服務器中間加一個中轉服務器),這樣就繞過了客戶端的輸入限制,此時只能將生氣了sql合法性驗證放在服務器端
總結:
Python如何避免sql注入?把你的sql(用戶輸入的)參數放在execute函數中,讓pymysql自動幫你屏蔽注入攻擊
存儲過程:
你可以理解為MySQL的編程語言。
作用:
可以將你的程序業務邏輯放到MySQL中來處理,這樣可以降低網絡的訪問次數,從而提高你的程序效率。
我們可以將所有與數據存儲相關的業務邏輯全都放在MySQL中,但這樣意味着公司需要再請一個MySQL開發者,對你個人而言,提高了溝通成本。
三種開發模型:
對於同樣的一個業務,你可以放到Python有人可以放到MySQL有什么區別?
- 應用程序處理邏輯,需要動手編寫sql語句
優點:執行效率高;缺點:開發效率低
- MySQL處理邏輯
特點:應用程序開發者不需要手動編寫sql語句,MySQL開發者來編寫。
優點:應用程序開發效率高;缺點:執行效率低,溝通成本高
- 使用OMB(object relation map)對象關系映射,自動幫你生成對應的sql語句,比如你要注冊用戶,本來要寫insert語句,現在使用orm 調用save(用戶對象)
優點:開發效率高;缺點:執行效率低
存儲過程相當於Python中的一個函數,簡單的說,學習存儲過程就是學習如何使用MySQL編寫一個函數。
語法;
Create procedure 過程名稱({in ,out,inout}數據類型 參數名稱)
Begin
具體的代碼
End
參數前面需要指定參數的作用
In 表示該函數用於傳入數據
Out 用於返回數據
Inout 即可傳入也可返回
參數類型是MySQL中的數據類型
案例:創建一個存儲過程 作用是將兩個整數相加
create procedure add_p (in a int,in b int)
begin
select a + b;
end
//
調用 call add_p(1,2)
案例:創建一個存儲過程作用是將兩個整數相加,將結果保存在變量中,先定義一個變量:set @su=100;
Create procedure add_p(int a int,in b int,out su int)
Begin
Set su=a+b;
End
//
定義變量:set @su=100;
調用過程: call add_p2(10,20,@su);
注意:在存儲過程中,需要使用分號來結束一行,但是分號有特殊意義,因此將原始的結束符修改為其他符號。
Delimiter // 結束符更換為//
Delimiter;
mysql中的if語句
if 條件 then
代碼
elseif 條件 then
代碼
else then
代碼
end if;
案例:
使用存儲過程 完成 輸入 一個 數字 1或2 顯示 壹 或 貳
create procedure show_p (in a int)
begin
if a = 1 then
select "壹";
elseif a = 2 then
select "貳";
else
select "other";
end if;
end //
調用存儲過程 使用 call 過程名稱
call add_p(10,20);
其他的流程控制
switch
case
while
repeat == do while
總結: 實際上一個mysql中的類似函數的東西 我們可以用它實現一些邏輯處理
特點:里面可以包含流程控制語句 和 普通的sql語句
使用存儲過程的優勢
提高應用程序開發效率
降低網絡訪問次數