持续创作，加速成长！这是我参与「掘金日新计划 · 10 月更文挑战」的第8天，点击查看活动详情

MySql数据库操作

首先在使用 PyMySQL 之前，我们需要确保 PyMySQL 已安装

Python数据库操作环境配置

离线安装：

pip install 下载的安装包名

在线安装： 输入以下命令

pip install pymysql

出现这样说明安装成功！

数据库操作的基本流程

创建 Connection数据库操作对象

使用Pymysql模块的connect() 方法可生成一个 connection 对象。 connect()参数如下： • host: 数据库主机名.默认是用本地主机 • user: 数据库登陆名.默认是当前用户 • passwd: 数据库登陆的密码.默认为空 • db: 要使用的数据库名.没有默认值 • port: MySQL服务使用的TCP端口.默认是3306 • charset: 数据库编码 • local_infile: 是否允许读取本地文件

创建数据库

create database 数据库名

连接数据库

import pymysql

config = {'host': 'localhost',
'port': 3306,
'user': 'root',
'passwd': '密码',
'db' : '数据库名'
}
conn = pymysql.connect( ** config)

创建表

SQL语句：

CREATE TABLE 表名(ID INT NOT NULL AUTO_INCREMENT, name VARCHAR(20) NULL, age INT NULL, score INT NULL, PRIMARY KEY (ID));

使用connection 对象，常用方法: cursor()：创建游标对象。一个游标允许用户执行数据库命令和得到查询结果 excute(sql[, args])：执行一个数据库查询或命令 callproc(func[,args])：调用一个存储过程 fetchone()：得到一行记录 fetchall()：得到所有行记录 close()：关闭对象，关闭后无法再进行操作，除非再次创建连接。

cursor = conn.cursor()
sql = "CREATE TABLE tb_Student(ID INT NOT NULL
AUTO_INCREMENT, name VARCHAR(20) NULL, age INT NULL,
score INT NULL, PRIMARY KEY (ID))"
cursor.execute(sql)
conn.close()

将二维列表数据插入数据库

姓名 年龄 成绩 杨洋 18 90 张艺兴 19 92 彭昱畅 17 89

（1）将数据用多维列表方式存储在内存中

ls = []
ls.append(["杨洋",18,90])
ls.append(["张艺兴",19,92])
ls.append(["彭昱畅",17,89])

（2）写入数据库、读取数据内容

cursor = conn.cursor()
sql = "insert into tb_student(name,age,score) values('{0}',{1},{2})"
try:
  for line in ls:
      cursor.execute(sql.format(*line))
      conn.commit()
except:
      conn.rollback()
finally:
      conn.close()

读取数据库中数据

cursor = conn.cursor()
sql = "select * from tb_student"
cursor.execute(sql)
rows = cursor.fetchall()
ls =list(map(list,rows))
conn.close()
print(ls)

根据条件读取数据库的信息

cursor = conn.cursor()
sql = "select name,age,score from tb_student where score<{0}"
cursor.execute(sql.format(90))
rows = cursor.fetchall()
rows = list(map(list,rows))
print(rows)

修改数据库的信息

cursor = conn.cursor()
sql = "update tb_student set score = 80 where name=%s"
try:
   cursor.execute(sql,["杨洋"])
   conn.commit()
except:
   conn.rollback()

删除数据库的信息

cursor = conn.cursor()
sql = " delete from tb_student where score<%s "
try:
   cursor.execute(sql,[85])
   conn.commit()
except:
   conn.rollback()

SQL 防注入问题

所谓SQL注入，就是通过把SQL命令插入到Web表单提 交或输入域名或页面请求的查询字符串，最终达到欺骗 服务器执行恶意的SQL命令。

例子

user=“root” password=“123456”

如果知道用户名和密码用以下语句登录验证：

user,pwd = "root","123456"
cursor = conn.cursor()
sql = "select * from tb_login where user = '{0}' and pwd ='{1}' "
cursor.execute(sql.format(user,pwd))
row = cursor.fetchone()
print(row)

肯定是登录验证成功！

但是如果我不知道用户名和密码呢？ 我也可以用下面通过验证：

user = "suiyishu' or 1=1 --'"
pwd = "2846946"
cursor = conn.cursor()
sql = "select * from tb_login where user = '{0}' and pwd ='{1}' "
cursor.execute(sql.format(user,pwd))
row = cursor.fetchone()
print(row)

竟然也通过验证了！不可思议！ 那到底为什么呢？ ‘or 1=1’无论前面输入什么最终用户名验证都是True '--'跳过密码验证

防Sql注入的方法：

1.带参数的Sql语句 : pymysql模块使用%s来实现

SQL语句参数化是解决SQL注入的最佳解决方案，在程序向数据库发送SQL执 行时，将SQL语句和参数分开传递，动态参数在SQL语句中使用占位符，在数 据库端在填入参数执行，即可规避SQL注入的问题，并提高了数据库执行效率。 • Python支持SQL参数化，动态参数用%s表示，cursor.execute()的第2个参数 位置进行SQL参数的传递，参数类型是tuple, list 或 dict。

user,pwd = "root","123456"
cursor = conn.cursor()
sql = "select * from tb_login where user = %s and pwd =%s "
cursor.execute(sql,(user,pwd))
row = cursor.fetchone()
print(row)

2.使用存储过程

存储过程（Stored Procedure）是一种在数据库中存储复杂程序，以便外 部程序调用的一种数据库对象。 • 存储过程是为了完成特定功能的SQL语句集，经编译创建并保存在数据库 中，用户可通过指定存储过程的名字并给定参数(需要时)来调用执行。 • 存储过程就是数据库 SQL 语言层面的代码封装与重用。 在stdDB数据库中创建一个存储过程p_login，如下： CREATE PROCEDURE FindAllStu ( In p_stdID varchar(20)) BEGIN Select * from StudentInfo where stdID = p_stdID ; END PyMysql模块调用存储过程： cursor.callproc(func[,args])：调用一个存储过程