发布时间:2018-06-15 20:07:20编辑:Run阅读(5946)
pymysql的下载和使用
之前我们都是通过MySQL自带的命令行客户端工具mysql来操作数据库,那如何在python程序中操作数据库呢?这就用到了pymysql模块,该模块本质就是一个套接字客户端软件,使用前需要事先安装
(1)pymysql模块的下载
pip3 install pymysql
(2)pymysql的使用
创建一个新的dbpymysql数据库,创建一个表,里面插入用户名:zhangsan, 密码:123
操作如下:
mysql> create database dbpymysql; # 创建dbpymysql数据库
Query OK, 1 row affected (0.05 sec)
mysql> use dbpymysql; # 选择dbpymysql数据库
Database changed
mysql> create table userinfo(username varchar(20),password varchar(20)); # 创建userinfo表结构
Query OK, 0 rows affected (0.05 sec)
mysql> insert into userinfo values('zhangsan','123'); # 在userinfo表中插入账号和密码
Query OK, 1 row affected (0.01 sec)
mysql> select * from userinfo; # 查询userinfo表信息
+----------+----------+
| username | password |
+----------+----------+
| zhangsan | 123 |
+----------+----------+
1 row in set (0.00 sec)
mysql> create user 'py123'@'192.168.11.88' identified by 'py123'; # 指定:192.168.11.88 用户py123 密码py123
Query OK, 0 rows affected (0.00 sec)
mysql> grant all privileges on dbpymysql.* to "py123"@'192.168.11.88'; # 授权ip:192.168.11.88的py123用户操作dbpymysql的所有权限
Query OK, 0 rows affected (0.00 sec)
下面使用python代码连接数据库,表中账号为zhangsan,密码:123
# 实现:使用Python实现用户登录,如果用户存在(数据库表中存在)则登录成功(假设该用户已在数据库中) import pymysql username = input('输入用户名:').strip() pwd = input('输入密码:').strip() # 1.连接 conn = pymysql.connect(host='192.168.11.60', # 数据库ip地址 port=3306, # 数据库端口 user='py123', # 上面创建连接数据库的账号:py123 password='py123', # 上面创建连接数据库的密码:py123 db='dbpymysql', # 需要连接的数据库名 charset='utf8' # 数据库字符编码utf8,注意不是utf-8会报错! ) # 2.创建游标 cur = conn.cursor() # 注意%s需要加引号 # 创建sql查询语句 sql = "select * from userinfo where username='%s' and password='%s'" % (username, pwd) print(sql) # 打印sql语句 # 3.执行sql语句 , cur.execute(sql)执行 result = cur.execute(sql) # 执行sql语句,返回sql查询成功的记录数目 print(result) # 打印返回值,返回0,1 即True或False # 关闭连接, 游标和连接都要关闭 cur.close() # 关闭游标 conn.close() # 关闭连接 if result: print('登陆成功') else: print('登陆失败')
执行结果:
execute()之sql注入
模拟sql注入方式,实现无需密码登陆,运行上面的脚本
密码为空,也能登陆成功
为什么呢?
在sql语句中, -- xx 后面的xx内容为注释,而select * from userinfo where username='zhangsan'这个sql语句返回的结果为真,导致可以成功登陆
再来个更狠点的方式,无需账号和密码登陆
随便输什么都能登陆
为什么呢?
先来看看打印的sql语句:
select * from userinfo where username='sdsdfcsf' or 1=1
只要满足任意一个条件(1=1为真),则返回True,即认证成功
解决方法
改写为(execute帮我们做字符串拼接,我们无需且一定不能再为%s加引号了)
sql="select * from userinfo where name=%s and password=%s"
result=cursor.execute(sql,[user,pwd])
完整代码:
#!/usr/bin/env python # coding: utf-8 # 实现:使用Python实现用户登录,如果用户存在(数据库表中存在)则登录成功(假设该用户已在数据库中) import pymysql import json username = input('输入用户名:').strip() pwd = input('输入密码:').strip() # 1.连接 conn = pymysql.connect(host='192.168.11.102', # 数据库ip地址 port=3306, # 数据库端口 user='py123', # 上面创建连接数据库的账号:py123 password='py123', # 上面创建连接数据库的密码:py123 db='dbpymysql', # 需要连接的数据库名 charset='utf8' # 数据库字符编码utf8,注意不是utf-8会报错! ) # 2.创建游标 cur = conn.cursor() # 注意%s需要加引号 # 创建sql查询语句 sql = "select * from userinfo where username=%s and password=%s" print(sql) # 打印sql语句 # 3.执行sql语句 , cur.execute(sql)执行 result = cur.execute(sql, (username, pwd)) # pymysql内部实现拼接,可为元组,列表,字典 # result = cur.execute(sql, (username, pwd)) # result = cur.execute(sql, [username, pwd]) # result = cur.execute(sql, {'username':username,'password':pwd}) print(result) # 打印返回值,返回0,1 即True或False # 关闭连接, 游标和连接都要关闭 cur.close() # 关闭游标 conn.close() # 关闭连接 if result: print('登陆成功') else: print('登陆失败')
再次测试上面sql注入方法就不行了
当然也可以自己实现一个拼接方法,也不会出现sql注入问题
需要import json
sql = "select * from userinfo where username={} and password={}".format(json.dumps(username), json.dumps(pwd))
result = cur.execute(sql)
增、删、改:conn.commit()
commit()方法:在数据库里增、删、改的时候,必须要进行提交,否则插入的数据不生效
pymysql添加数据 insert方法
#!/usr/bin/env python # coding: utf-8 import pymysql # 1.连接 conn = pymysql.connect(host='192.168.11.102', # 数据库ip地址 port=3306, # 数据库端口 user='py123', # 上面创建连接数据库的账号:py123 password='py123', # 上面创建连接数据库的密码:py123 db='dbpymysql', # 需要连接的数据库名 charset='utf8' # 数据库字符编码utf8,注意不是utf-8会报错! ) # 2.创建游标 cur = conn.cursor() # 注意%s需要加引号 # 创建sql查询语句 sql = "insert into userinfo(username,password) values (%s,%s)" # 3.执行sql语句 , cur.execute(sql)执行 result = cur.execute(sql, ('lisi', '321')) # 执行sql语句插入一条数据 # 插入多条数据 executemany # type: (str, list) -> int result1 = cur.executemany(sql, [('wangwu', '1122'), ('zhuliu', '3321')]) # 一定记得commit,不然数据不会保存 conn.commit() # 关闭连接, 游标和连接都要关闭 cur.close() # 关闭游标 conn.close() # 关闭连接 if result: print('插入一条数据执行成功') if result1: print('插入多条数据执行成功')
执行结果
插入一条数据执行成功
插入多条数据执行成功
pymysql更改数据,update方法
import pymysql # 1.连接 conn = pymysql.connect(host='192.168.11.102', # 数据库ip地址 port=3306, # 数据库端口 user='py123', # 上面创建连接数据库的账号:py123 password='py123', # 上面创建连接数据库的密码:py123 db='dbpymysql', # 需要连接的数据库名 charset='utf8' # 数据库字符编码utf8,注意不是utf-8会报错! ) # 2.创建游标 cur = conn.cursor() # 注意%s需要加引号 # 创建sql查询语句 sql = "update userinfo set username = %s where username='lisi'" # 3.执行sql语句 , cur.execute(sql)执行1 result = cur.execute(sql, '李四') # 执行sql语句更改一条数据 # 一定记得commit,不然数据不会保存 conn.commit() # 关闭连接, 游标和连接都要关闭 cur.close() # 关闭游标 conn.close() # 关闭连接 if result: print('更改一条数据执行成功')
执行结果
更改一条数据执行成功
pymysql删除数据,delete方法
#!/usr/bin/env python # coding: utf-8 import pymysql # 1.连接 conn = pymysql.connect(host='192.168.11.102', # 数据库ip地址 port=3306, # 数据库端口 user='py123', # 上面创建连接数据库的账号:py123 password='py123', # 上面创建连接数据库的密码:py123 db='dbpymysql', # 需要连接的数据库名 charset='utf8' # 数据库字符编码utf8,注意不是utf-8会报错! ) # 2.创建游标 cur = conn.cursor() # 注意%s需要加引号 # 创建sql查询语句 sql = "delete from userinfo where username='wangwu'" # 3.执行sql语句 , cur.execute(sql)执行1 result = cur.execute(sql) # 执行sql语句更改一条数据 # 一定记得commit,不然数据不会保存 conn.commit() # 关闭连接, 游标和连接都要关闭 cur.close() # 关闭游标 conn.close() # 关闭连接 if result: print('删除一条数据执行成功')
执行结果
删除一条数据执行成功
查:fetchone、fetchmany、fetchall
fetchone():获取下一行数据,第一次为首行;
fetchall():获取所有行数据源
fetchmany(4):获取4行数据
pymysql使用fetchone():获取下一行数据
#!/usr/bin/env python # coding: utf-8 import pymysql # 1.连接 conn = pymysql.connect(host='192.168.11.102', # 数据库ip地址 port=3306, # 数据库端口 user='py123', # 上面创建连接数据库的账号:py123 password='py123', # 上面创建连接数据库的密码:py123 db='dbpymysql', # 需要连接的数据库名 charset='utf8' # 数据库字符编码utf8,注意不是utf-8会报错! ) # 2.创建游标 cur = conn.cursor() # 注意%s需要加引号 # 创建sql查询语句 sql = "select * from userinfo" # 3.执行sql语句 , cur.execute(sql)执行1 result = cur.execute(sql) # 执行sql语句更改一条数据 # 查询第一行的数据 row = cur.fetchone() print(row) # 查询第二行的数据 row = cur.fetchone() print(row) # 关闭连接, 游标和连接都要关闭 cur.close() # 关闭游标 conn.close() # 关闭连接
执行结果
('zhangsan', '123')
('李四', '321')
pymysql使用fetchall():获取所有数据
#!/usr/bin/env python # coding: utf-8 import pymysql # 1.连接 conn = pymysql.connect(host='192.168.11.102', # 数据库ip地址 port=3306, # 数据库端口 user='py123', # 上面创建连接数据库的账号:py123 password='py123', # 上面创建连接数据库的密码:py123 db='dbpymysql', # 需要连接的数据库名 charset='utf8' # 数据库字符编码utf8,注意不是utf-8会报错! ) # 2.创建游标 cur = conn.cursor() # 注意%s需要加引号 # 创建sql查询语句 sql = "select * from userinfo" # 3.执行sql语句 , cur.execute(sql)执行1 result = cur.execute(sql) # 执行sql语句更改一条数据 # 获取所有行的数据 row = cur.fetchall() print(row) # 关闭连接, 游标和连接都要关闭 cur.close() # 关闭游标 conn.close() # 关闭连接
执行结果
(('zhangsan', '123'), ('李四', '321'), ('zhuliu', '3321'))
pymysql使用fetchmany():获取多行数据
#!/usr/bin/env python # coding: utf-8 import pymysql # 1.连接 conn = pymysql.connect(host='192.168.11.102', # 数据库ip地址 port=3306, # 数据库端口 user='py123', # 上面创建连接数据库的账号:py123 password='py123', # 上面创建连接数据库的密码:py123 db='dbpymysql', # 需要连接的数据库名 charset='utf8' # 数据库字符编码utf8,注意不是utf-8会报错! ) # 2.创建游标 cur = conn.cursor() # 注意%s需要加引号 # 创建sql查询语句 sql = "select * from userinfo" # 3.执行sql语句 , cur.execute(sql)执行1 result = cur.execute(sql) # 执行sql语句更改一条数据 # 获取多行数据 row = cur.fetchmany(3) print(row) # 关闭连接, 游标和连接都要关闭 cur.close() # 关闭游标 conn.close() # 关闭连接
执行结果:
(('zhangsan', '123'), ('李四', '321'), ('zhuliu', '3321'))
默认情况下,我们获取到的返回值是元组,只能看到每行的数据,却不知道每一列代表的是什么,这个时候可以使用以下方式来返回字典,每一行的数据都会生成一个字典:
在实例化的时候,将属性cursor设置为pymysql.cursors.DictCursor
cur = conn.cursor(cursor=pymysql.cursors.DictCursor)
示例:
#!/usr/bin/env python # coding: utf-8 import pymysql # 1.连接 conn = pymysql.connect(host='192.168.11.102', # 数据库ip地址 port=3306, # 数据库端口 user='py123', # 上面创建连接数据库的账号:py123 password='py123', # 上面创建连接数据库的密码:py123 db='dbpymysql', # 需要连接的数据库名 charset='utf8' # 数据库字符编码utf8,注意不是utf-8会报错! ) # 2.创建游标, # cursor=pymysql.cursors.DictCursor 设置返回值为字典 cur = conn.cursor(cursor=pymysql.cursors.DictCursor) # 注意%s需要加引号 # 创建sql查询语句 sql = "select * from userinfo" # 3.执行sql语句 , cur.execute(sql)执行1 result = cur.execute(sql) # 执行sql语句更改一条数据 # 获取所有行的数据 row = cur.fetchall() print(row) # 关闭连接, 游标和连接都要关闭 cur.close() # 关闭游标 conn.close() # 关闭连接
执行结果
[{'username': 'zhangsan', 'password': '123'}, {'username': '李四', 'password': '321'}, {'username': 'zhuliu', 'password': '3321'}]
在fetchone示例中,在获取行数据的时候,可以理解开始的时候,有一个行指针指着第一行的上方,获取一行,它就向下移动一行,所以当行指针到最后一行的时候,就不能再获取到行的内容,所以我们可以使用如下方法来移动行指针:
第一个值为移动的行数,整数为向下移动,负数为向上移动,mode指定了是相对当前位置移动,还是相对于首行移动
cursor.scroll(1,mode='relative') # 相对当前位置移动(类似光标指针)
cursor.scroll(2,mode='absolute') # 相对绝对位置移动
示例:
#!/usr/bin/env python # coding: utf-8 import pymysql # 1.连接 conn = pymysql.connect(host='192.168.11.102', # 数据库ip地址 port=3306, # 数据库端口 user='py123', # 上面创建连接数据库的账号:py123 password='py123', # 上面创建连接数据库的密码:py123 db='dbpymysql', # 需要连接的数据库名 charset='utf8' # 数据库字符编码utf8,注意不是utf-8会报错! ) # 2.创建游标,设置返回值为字典 cur = conn.cursor(cursor=pymysql.cursors.DictCursor) # 注意%s需要加引号 # 创建sql查询语句 sql = "select * from userinfo" # 3.执行sql语句 , cur.execute(sql)执行1 result = cur.execute(sql) # 执行sql语句更改一条数据 # 查询第一行的数据 row = cur.fetchone() print(row) # 查询第二行的数据 row = cur.fetchone() print(row) # 设置之后,光标相对于当前位置往前移动了一行,所以打印的结果为第二行的数据 cur.scroll(-1, mode='relative') row = cur.fetchone() print(row) # 设置之后,光标相对于首行没有任何变化,所以打印的结果为第一行数据 cur.scroll(0, mode='absolute') row = cur.fetchone() print(row) # 关闭连接, 游标和连接都要关闭 cur.close() # 关闭游标 conn.close() # 关闭连接
执行结果
{'username': 'zhangsan', 'password': '123'}
{'username': '李四', 'password': '321'}
{'username': '李四', 'password': '321'}
{'username': 'zhangsan', 'password': '123'}
上一篇: python脚本练习
下一篇: pymysql--插入300万数据
47744
46234
37109
34626
29228
25885
24744
19862
19415
17907
5715°
6314°
5834°
5887°
6983°
5829°
5845°
6360°
6315°
7672°