pymysql模块的使用

发布时间:2018-06-15 20:07:20编辑:Run阅读(5946)

    pymysql的下载和使用

    之前我们都是通过MySQL自带的命令行客户端工具mysql来操作数据库,那如何在python程序中操作数据库呢?这就用到了pymysql模块,该模块本质就是一个套接字客户端软件,使用前需要事先安装


    (1)pymysql模块的下载

    pip3 install pymysql

    blob.png


    (2)pymysql的使用

    创建一个新的dbpymysql数据库,创建一个表,里面插入用户名:zhangsan, 密码:123

    操作如下:

    mysql> create database dbpymysql;  # 创建dbpymysql数据库

    Query OK, 1 row affected (0.05 sec)


    mysql> use dbpymysql;  # 选择dbpymysql数据库

    Database changed


    mysql> create table userinfo(username varchar(20),password varchar(20));  # 创建userinfo表结构

    Query OK, 0 rows affected (0.05 sec)


    mysql> insert into userinfo values('zhangsan','123');  # 在userinfo表中插入账号和密码

    Query OK, 1 row affected (0.01 sec)


    mysql> select * from userinfo;  # 查询userinfo表信息

    +----------+----------+

    | username | password |

    +----------+----------+

    | zhangsan | 123      |

    +----------+----------+

    1 row in set (0.00 sec)


    mysql> create user 'py123'@'192.168.11.88' identified by 'py123'; # 指定:192.168.11.88 用户py123 密码py123

    Query OK, 0 rows affected (0.00 sec)


    mysql> grant all privileges  on dbpymysql.* to "py123"@'192.168.11.88';  # 授权ip:192.168.11.88的py123用户操作dbpymysql的所有权限

    Query OK, 0 rows affected (0.00 sec)



    下面使用python代码连接数据库,表中账号为zhangsan,密码:123

    # 实现:使用Python实现用户登录,如果用户存在(数据库表中存在)则登录成功(假设该用户已在数据库中)
    import pymysql
    
    username = input('输入用户名:').strip()  
    pwd = input('输入密码:').strip()
    
    # 1.连接
    conn = pymysql.connect(host='192.168.11.60',  # 数据库ip地址
                           port=3306,             # 数据库端口
                           user='py123',          # 上面创建连接数据库的账号:py123 
                           password='py123',      # 上面创建连接数据库的密码:py123
                           db='dbpymysql',        # 需要连接的数据库名
                           charset='utf8'         # 数据库字符编码utf8,注意不是utf-8会报错!
                           )
    
    # 2.创建游标
    cur = conn.cursor()
    
    # 注意%s需要加引号
    # 创建sql查询语句
    sql = "select * from userinfo where username='%s' and password='%s'" % (username, pwd)
    print(sql)  # 打印sql语句
    
    # 3.执行sql语句 , cur.execute(sql)执行
    result = cur.execute(sql)  # 执行sql语句,返回sql查询成功的记录数目
    print(result)  # 打印返回值,返回0,1 即True或False
    
    # 关闭连接, 游标和连接都要关闭
    cur.close()  # 关闭游标
    conn.close()  # 关闭连接
    
    if result:
        print('登陆成功')
    else:
        print('登陆失败')

    执行结果:

    blob.png



    execute()之sql注入

    模拟sql注入方式,实现无需密码登陆,运行上面的脚本

    blob.png

    密码为空,也能登陆成功

    为什么呢?

    在sql语句中, -- xx 后面的xx内容为注释,而select * from userinfo where username='zhangsan'这个sql语句返回的结果为真,导致可以成功登陆


    再来个更狠点的方式,无需账号和密码登陆

    blob.png

    随便输什么都能登陆

    为什么呢?

    先来看看打印的sql语句:

    select * from userinfo where username='sdsdfcsf' or 1=1

    只要满足任意一个条件(1=1为真),则返回True,即认证成功


    解决方法

    改写为(execute帮我们做字符串拼接,我们无需且一定不能再为%s加引号了)

    sql="select * from userinfo where name=%s and password=%s"

    result=cursor.execute(sql,[user,pwd])

    完整代码:

    #!/usr/bin/env python
    # coding: utf-8
    
    # 实现:使用Python实现用户登录,如果用户存在(数据库表中存在)则登录成功(假设该用户已在数据库中)
    import pymysql
    import json
    
    username = input('输入用户名:').strip()
    pwd = input('输入密码:').strip()
    
    # 1.连接
    conn = pymysql.connect(host='192.168.11.102',  # 数据库ip地址
                           port=3306,             # 数据库端口
                           user='py123',          # 上面创建连接数据库的账号:py123
                           password='py123',      # 上面创建连接数据库的密码:py123
                           db='dbpymysql',        # 需要连接的数据库名
                           charset='utf8'         # 数据库字符编码utf8,注意不是utf-8会报错!
                           )
    
    # 2.创建游标
    cur = conn.cursor()
    
    # 注意%s需要加引号
    # 创建sql查询语句
    sql = "select * from userinfo where username=%s and password=%s"
    print(sql)  # 打印sql语句
    
    # 3.执行sql语句 , cur.execute(sql)执行
    result = cur.execute(sql, (username, pwd))  # pymysql内部实现拼接,可为元组,列表,字典
    # result = cur.execute(sql, (username, pwd))
    # result = cur.execute(sql, [username, pwd])
    # result = cur.execute(sql, {'username':username,'password':pwd})
    
    print(result)  # 打印返回值,返回0,1 即True或False
    
    # 关闭连接, 游标和连接都要关闭
    cur.close()  # 关闭游标
    conn.close()  # 关闭连接
    
    if result:
        print('登陆成功')
    else:
        print('登陆失败')

    再次测试上面sql注入方法就不行了

    blob.png


    当然也可以自己实现一个拼接方法,也不会出现sql注入问题

    需要import json

    sql = "select * from userinfo where username={} and password={}".format(json.dumps(username), json.dumps(pwd))

    result = cur.execute(sql)



    增、删、改:conn.commit()

    commit()方法:在数据库里增、删、改的时候,必须要进行提交,否则插入的数据不生效


    pymysql添加数据 insert方法

    #!/usr/bin/env python
    # coding: utf-8
    
    import pymysql
    
    
    # 1.连接
    conn = pymysql.connect(host='192.168.11.102',  # 数据库ip地址
                           port=3306,             # 数据库端口
                           user='py123',          # 上面创建连接数据库的账号:py123
                           password='py123',      # 上面创建连接数据库的密码:py123
                           db='dbpymysql',        # 需要连接的数据库名
                           charset='utf8'         # 数据库字符编码utf8,注意不是utf-8会报错!
                           )
    
    # 2.创建游标
    cur = conn.cursor()
    
    # 注意%s需要加引号
    # 创建sql查询语句
    sql = "insert into userinfo(username,password) values (%s,%s)"
    
    # 3.执行sql语句 , cur.execute(sql)执行
    result = cur.execute(sql, ('lisi', '321'))  # 执行sql语句插入一条数据
    
    # 插入多条数据 executemany
    # type: (str, list) -> int
    result1 = cur.executemany(sql, [('wangwu', '1122'), ('zhuliu', '3321')])
    
    # 一定记得commit,不然数据不会保存
    conn.commit()
    
    # 关闭连接, 游标和连接都要关闭
    cur.close()  # 关闭游标
    conn.close()  # 关闭连接
    
    if result:
        print('插入一条数据执行成功')
    if result1:
        print('插入多条数据执行成功')

    执行结果

    插入一条数据执行成功

    插入多条数据执行成功

    blob.png


    pymysql更改数据,update方法

    import pymysql
    
    # 1.连接
    conn = pymysql.connect(host='192.168.11.102',  # 数据库ip地址
                           port=3306,             # 数据库端口
                           user='py123',          # 上面创建连接数据库的账号:py123
                           password='py123',      # 上面创建连接数据库的密码:py123
                           db='dbpymysql',        # 需要连接的数据库名
                           charset='utf8'         # 数据库字符编码utf8,注意不是utf-8会报错!
                           )
    
    # 2.创建游标
    cur = conn.cursor()
    
    # 注意%s需要加引号
    # 创建sql查询语句
    sql = "update userinfo set username = %s  where username='lisi'"
    
    # 3.执行sql语句 , cur.execute(sql)执行1
    result = cur.execute(sql, '李四')  # 执行sql语句更改一条数据
    
    # 一定记得commit,不然数据不会保存
    conn.commit()
    
    # 关闭连接, 游标和连接都要关闭
    cur.close()  # 关闭游标
    conn.close()  # 关闭连接
    
    if result:
        print('更改一条数据执行成功')

    执行结果

    更改一条数据执行成功

    blob.png


    pymysql删除数据,delete方法

    #!/usr/bin/env python
    # coding: utf-8
    
    import pymysql
    
    # 1.连接
    conn = pymysql.connect(host='192.168.11.102',  # 数据库ip地址
                           port=3306,             # 数据库端口
                           user='py123',          # 上面创建连接数据库的账号:py123
                           password='py123',      # 上面创建连接数据库的密码:py123
                           db='dbpymysql',        # 需要连接的数据库名
                           charset='utf8'         # 数据库字符编码utf8,注意不是utf-8会报错!
                           )
    
    # 2.创建游标
    cur = conn.cursor()
    
    # 注意%s需要加引号
    # 创建sql查询语句
    sql = "delete from userinfo  where username='wangwu'"
    
    # 3.执行sql语句 , cur.execute(sql)执行1
    result = cur.execute(sql)  # 执行sql语句更改一条数据
    
    # 一定记得commit,不然数据不会保存
    conn.commit()
    
    # 关闭连接, 游标和连接都要关闭
    cur.close()  # 关闭游标
    conn.close()  # 关闭连接
    
    if result:
        print('删除一条数据执行成功')

    执行结果

    删除一条数据执行成功

    blob.png



    查:fetchone、fetchmany、fetchall

    fetchone():获取下一行数据,第一次为首行;

    fetchall():获取所有行数据源

    fetchmany(4):获取4行数据


    pymysql使用fetchone():获取下一行数据

    #!/usr/bin/env python
    # coding: utf-8
    import pymysql
    
    # 1.连接
    conn = pymysql.connect(host='192.168.11.102',  # 数据库ip地址
                           port=3306,             # 数据库端口
                           user='py123',          # 上面创建连接数据库的账号:py123
                           password='py123',      # 上面创建连接数据库的密码:py123
                           db='dbpymysql',        # 需要连接的数据库名
                           charset='utf8'         # 数据库字符编码utf8,注意不是utf-8会报错!
                           )
    
    # 2.创建游标
    cur = conn.cursor()
    
    # 注意%s需要加引号
    # 创建sql查询语句
    sql = "select * from userinfo"
    
    # 3.执行sql语句 , cur.execute(sql)执行1
    result = cur.execute(sql)  # 执行sql语句更改一条数据
    
    # 查询第一行的数据
    row = cur.fetchone()
    print(row)
    
    # 查询第二行的数据
    row = cur.fetchone()
    print(row)
    
    
    # 关闭连接, 游标和连接都要关闭
    cur.close()  # 关闭游标
    conn.close()  # 关闭连接

    执行结果

    ('zhangsan', '123')

    ('李四', '321')


    pymysql使用fetchall():获取所有数据

    #!/usr/bin/env python
    # coding: utf-8
    import pymysql
    
    # 1.连接
    conn = pymysql.connect(host='192.168.11.102',  # 数据库ip地址
                           port=3306,             # 数据库端口
                           user='py123',          # 上面创建连接数据库的账号:py123
                           password='py123',      # 上面创建连接数据库的密码:py123
                           db='dbpymysql',        # 需要连接的数据库名
                           charset='utf8'         # 数据库字符编码utf8,注意不是utf-8会报错!
                           )
    
    # 2.创建游标
    cur = conn.cursor()
    
    # 注意%s需要加引号
    # 创建sql查询语句
    sql = "select * from userinfo"
    
    # 3.执行sql语句 , cur.execute(sql)执行1
    result = cur.execute(sql)  # 执行sql语句更改一条数据
    
    # 获取所有行的数据
    row = cur.fetchall()
    print(row)
    
    # 关闭连接, 游标和连接都要关闭
    cur.close()  # 关闭游标
    conn.close()  # 关闭连接

    执行结果

    (('zhangsan', '123'), ('李四', '321'), ('zhuliu', '3321'))


    pymysql使用fetchmany():获取多行数据

    #!/usr/bin/env python
    # coding: utf-8
    import pymysql
    
    # 1.连接
    conn = pymysql.connect(host='192.168.11.102',  # 数据库ip地址
                           port=3306,             # 数据库端口
                           user='py123',          # 上面创建连接数据库的账号:py123
                           password='py123',      # 上面创建连接数据库的密码:py123
                           db='dbpymysql',        # 需要连接的数据库名
                           charset='utf8'         # 数据库字符编码utf8,注意不是utf-8会报错!
                           )
    
    # 2.创建游标
    cur = conn.cursor()
    
    # 注意%s需要加引号
    # 创建sql查询语句
    sql = "select * from userinfo"
    
    # 3.执行sql语句 , cur.execute(sql)执行1
    result = cur.execute(sql)  # 执行sql语句更改一条数据
    
    # 获取多行数据
    row = cur.fetchmany(3)
    print(row)
    
    # 关闭连接, 游标和连接都要关闭
    cur.close()  # 关闭游标
    conn.close()  # 关闭连接

    执行结果:

    (('zhangsan', '123'), ('李四', '321'), ('zhuliu', '3321'))


    默认情况下,我们获取到的返回值是元组,只能看到每行的数据,却不知道每一列代表的是什么,这个时候可以使用以下方式来返回字典,每一行的数据都会生成一个字典:

    在实例化的时候,将属性cursor设置为pymysql.cursors.DictCursor

    cur = conn.cursor(cursor=pymysql.cursors.DictCursor)

    示例:

    #!/usr/bin/env python
    # coding: utf-8
    import pymysql
    
    # 1.连接
    conn = pymysql.connect(host='192.168.11.102',  # 数据库ip地址
                           port=3306,             # 数据库端口
                           user='py123',          # 上面创建连接数据库的账号:py123
                           password='py123',      # 上面创建连接数据库的密码:py123
                           db='dbpymysql',        # 需要连接的数据库名
                           charset='utf8'         # 数据库字符编码utf8,注意不是utf-8会报错!
                           )
    
    # 2.创建游标,
    # cursor=pymysql.cursors.DictCursor 设置返回值为字典
    cur = conn.cursor(cursor=pymysql.cursors.DictCursor)
    
    # 注意%s需要加引号
    # 创建sql查询语句
    sql = "select * from userinfo"
    
    # 3.执行sql语句 , cur.execute(sql)执行1
    result = cur.execute(sql)  # 执行sql语句更改一条数据
    
    # 获取所有行的数据
    row = cur.fetchall()
    print(row)
    
    # 关闭连接, 游标和连接都要关闭
    cur.close()  # 关闭游标
    conn.close()  # 关闭连接

    执行结果

    [{'username': 'zhangsan', 'password': '123'}, {'username': '李四', 'password': '321'}, {'username': 'zhuliu', 'password': '3321'}]


    在fetchone示例中,在获取行数据的时候,可以理解开始的时候,有一个行指针指着第一行的上方,获取一行,它就向下移动一行,所以当行指针到最后一行的时候,就不能再获取到行的内容,所以我们可以使用如下方法来移动行指针:

    第一个值为移动的行数,整数为向下移动,负数为向上移动,mode指定了是相对当前位置移动,还是相对于首行移动

    cursor.scroll(1,mode='relative')  # 相对当前位置移动(类似光标指针)

    cursor.scroll(2,mode='absolute') # 相对绝对位置移动

    示例:

    #!/usr/bin/env python
    # coding: utf-8
    import pymysql
    
    # 1.连接
    conn = pymysql.connect(host='192.168.11.102',  # 数据库ip地址
                           port=3306,             # 数据库端口
                           user='py123',          # 上面创建连接数据库的账号:py123
                           password='py123',      # 上面创建连接数据库的密码:py123
                           db='dbpymysql',        # 需要连接的数据库名
                           charset='utf8'         # 数据库字符编码utf8,注意不是utf-8会报错!
                           )
    
    # 2.创建游标,设置返回值为字典
    cur = conn.cursor(cursor=pymysql.cursors.DictCursor)
    
    # 注意%s需要加引号
    # 创建sql查询语句
    sql = "select * from userinfo"
    
    # 3.执行sql语句 , cur.execute(sql)执行1
    result = cur.execute(sql)  # 执行sql语句更改一条数据
    
    # 查询第一行的数据
    row = cur.fetchone()
    print(row)
    
    # 查询第二行的数据
    row = cur.fetchone()
    print(row)
    
    # 设置之后,光标相对于当前位置往前移动了一行,所以打印的结果为第二行的数据
    cur.scroll(-1, mode='relative')
    row = cur.fetchone() 
    print(row)
    
    # 设置之后,光标相对于首行没有任何变化,所以打印的结果为第一行数据
    cur.scroll(0, mode='absolute')
    row = cur.fetchone()
    print(row)
    
    # 关闭连接, 游标和连接都要关闭
    cur.close()  # 关闭游标
    conn.close()  # 关闭连接

    执行结果

    {'username': 'zhangsan', 'password': '123'}

    {'username': '李四', 'password': '321'}

    {'username': '李四', 'password': '321'}

    {'username': 'zhangsan', 'password': '123'}


关键字