MySQL（pymysql模塊）

1、pymysql模塊

一、安裝

#安裝
pip3 install pymysql

二、連接、執行sql、關閉（遊標）

import pymysql
user=input('用戶名: ').strip()
pwd=input('密碼: ').strip()

#連接
conn=pymysql.connect(host='localhost',user='root',password='123',database='egon',charset='utf8')
#遊標
cursor=conn.cursor() #執行完畢返回的結果集默認以元組顯示
#cursor=conn.cursor(cursor=pymysql.cursors.DictCursor)


#執行sql語句
sql='select * from userinfo where name="%s" and password="%s"' %(user,pwd) #注意%s須要加引號
print(sql)
res=cursor.execute(sql) #執行sql語句，返回sql查詢成功的記錄數目
print(res)

#回收資源
cursor.close()
conn.close()

if res:
    print('登陸成功')
else:
    print('登陸失敗')

三、execute()之sql注入

注意：符號--會註釋掉它以後的sql，正確的語法：--後至少有一個任意字符

根本原理：就根據程序的字符串拼接name='%s'，咱們輸入一個xxx' -- haha,用咱們輸入的xxx加'在程序中拼接成一個判斷條件name='xxx' -- haha'

最後那一個空格，在一條sql語句中若是遇到select * from t1 where id > 3 -- and name='egon';則--以後的條件被註釋掉了

#一、sql注入之：用戶存在，繞過密碼
egon' -- 任意字符

#二、sql注入之：用戶不存在，繞過用戶與密碼
xxx' or 1=1 -- 任意字符

解決方法：

# 原來是咱們對sql進行字符串拼接
# sql="select * from userinfo where name='%s' and password='%s'" %(user,pwd)
# print(sql)
# res=cursor.execute(sql)

#改寫爲（execute幫咱們作字符串拼接，咱們無需且必定不能再爲%s加引號了）
sql="select * from userinfo where name=%s and password=%s" #！！！注意%s須要去掉引號，由於pymysql會自動爲咱們加上
res=cursor.execute(sql,[user,pwd]) #pymysql模塊自動幫咱們解決sql注入的問題，只要咱們按照pymysql的規矩來。

四、增、刪、改：conn.commit()

import pymysql
#連接
conn=pymysql.connect(host='localhost',user='root',password='123',database='egon')
#遊標
cursor=conn.cursor()

#執行sql語句
#part1
# sql='insert into userinfo(name,password) values("root","123456");'
# res=cursor.execute(sql) #執行sql語句，返回sql影響成功的行數
# print(res)

#part2
# sql='insert into userinfo(name,password) values(%s,%s);'
# res=cursor.execute(sql,("root","123456")) #執行sql語句，返回sql影響成功的行數
# print(res)

#part3 多條插入
sql='insert into userinfo(name,password) values(%s,%s);'
res=cursor.executemany(sql,[("root","123456"),("lhf","12356"),("eee","156")]) #執行sql語句，返回sql影響成功的行數
print(res)

conn.commit() #提交後才發現表中插入記錄成功
cursor.close()
conn.close()

五、查：fetchone，fetchmany，fetchall

import pymysql
#連接
conn=pymysql.connect(host='localhost',user='root',password='123',database='egon')
#遊標
cursor=conn.cursor()

#執行sql語句
sql='select * from userinfo;'
rows=cursor.execute(sql) #執行sql語句，返回sql影響成功的行數rows,將結果放入一個集合，等待被查詢

# cursor.scroll(3,mode='absolute') # 相對絕對位置移動
# cursor.scroll(3,mode='relative') # 相對當前位置移動
res1=cursor.fetchone()#取到第一行
res2=cursor.fetchone()#取到第二行
res3=cursor.fetchone()#取到第三行
res4=cursor.fetchmany(2)#取多行
res5=cursor.fetchall()#取出全部記錄
ret6=cursor.fetchall()#第二次在取得時候爲空，只能取一次
print(res1)
print(res2)
print(res3)
print(res4)
print(res5)
print('%s rows in set (0.00 sec)' %rows)



conn.commit() #提交後才發現表中插入記錄成功
cursor.close()
conn.close()

'''
(1, 'root', '123456')
(2, 'root', '123456')
(3, 'root', '123456')
((4, 'root', '123456'), (5, 'root', '123456'))
((6, 'root', '123456'), (7, 'lhf', '12356'), (8, 'eee', '156'))
rows in set (0.00 sec)
'''

六、獲取插入的最後一條數據的自增ID

import pymysql
conn=pymysql.connect(host='localhost',user='root',password='123',database='egon')
cursor=conn.cursor()

sql='insert into userinfo(name,password) values("xxx","123");'
rows=cursor.execute(sql)
print(cursor.lastrowid) #在插入語句後查看

conn.commit()

cursor.close()
conn.close()