MySql数据库操作

首先在使用 PyMySQL 之前，我们需要确保 PyMySQL 已安装

Python数据库操作环境配置

离线安装：

pip install 下载的安装包名

在线安装：
输入以下命令

pip install pymysql

出现这样说明安装成功！

数据库操作的基本流程

创建 Connection数据库操作对象

使用Pymysql模块的connect() 方法可生成一个 connection 对象。
connect()参数如下：
• host: 数据库主机名.默认是用本地主机
• user: 数据库登陆名.默认是当前用户
• passwd: 数据库登陆的密码.默认为空
• db: 要使用的数据库名.没有默认值
• port: MySQL服务使用的TCP端口.默认是3306
• charset: 数据库编码
• local_infile: 是否允许读取本地文件

创建数据库

create database 数据库名

连接数据库

import pymysql

config = {'host': 'localhost',
'port': 3306,
'user': 'root',
'passwd': '密码',
'db' : '数据库名'
}
conn = pymysql.connect( ** config)

创建表

SQL语句：

CREATE TABLE 表名(ID INT NOT NULL AUTO_INCREMENT, name VARCHAR(20) NULL, age INT NULL, score INT NULL, PRIMARY KEY (ID));

使用connection 对象，常用方法:
cursor()：创建游标对象。一个游标允许用户执行数据库命令和得到查询结果

          excute(sql[, args])：执行一个数据库查询或命令 
          callproc(func[,args])：调用一个存储过程
          fetchone()：得到一行记录
          fetchall()：得到所有行记录

close()：关闭对象，关闭后无法再进行操作，除非再次创建连接。

cursor = conn.cursor()
sql = "CREATE TABLE tb_Student(ID INT NOT NULL
AUTO_INCREMENT, name VARCHAR(20) NULL, age INT NULL,
score INT NULL, PRIMARY KEY (ID))"
cursor.execute(sql)
conn.close()

将二维列表数据插入数据库

姓名 年龄 成绩
杨洋 18 90
张艺兴 19 92
彭昱畅 17 89

（1）将数据用多维列表方式存储在内存中

ls = []
ls.append(["杨洋",18,90])
ls.append(["张艺兴",19,92])
ls.append(["彭昱畅",17,89])

（2）写入数据库、读取数据内容

cursor = conn.cursor()
sql = "insert into tb_student(name,age,score) values('{0}',{1},{2})"
try:
  for line in ls:
      cursor.execute(sql.format(*line))
      conn.commit()
except:
      conn.rollback()
finally:
      conn.close()

读取数据库中数据

cursor = conn.cursor()
sql = "select * from tb_student"
cursor.execute(sql)
rows = cursor.fetchall()
ls =list(map(list,rows))
conn.close()
print(ls)

根据条件读取数据库的信息

cursor = conn.cursor()
sql = "select name,age,score from tb_student where score<{0}"
cursor.execute(sql.format(90))
rows = cursor.fetchall()
rows = list(map(list,rows))
print(rows)

修改数据库的信息

cursor = conn.cursor()
sql = "update tb_student set score = 80 where name=%s"
try:
   cursor.execute(sql,["杨洋"])
   conn.commit()
except:
   conn.rollback()

删除数据库的信息

cursor = conn.cursor()
sql = " delete from tb_student where score<%s "
try:
   cursor.execute(sql,[85])
   conn.commit()
except:
   conn.rollback()

SQL 防注入问题

所谓SQL注入，就是通过把SQL命令插入到Web表单提 交或输入域名或页面请求的查询字符串，最终达到欺骗 服务器执行恶意的SQL命令。

例子

user=“root”
password=“123456”

如果知道用户名和密码用以下语句登录验证：

user,pwd = "root","123456"
cursor = conn.cursor()
sql = "select * from tb_login where user = '{0}' and pwd ='{1}' "
cursor.execute(sql.format(user,pwd))
row = cursor.fetchone()
print(row)

肯定是登录验证成功！

但是如果我不知道用户名和密码呢？
我也可以用下面通过验证：

user = "suiyishu' or 1=1 --'"
pwd = "2846946"
cursor = conn.cursor()
sql = "select * from tb_login where user = '{0}' and pwd ='{1}' "
cursor.execute(sql.format(user,pwd))
row = cursor.fetchone()
print(row)

竟然也通过验证了！不可思议！
那到底为什么呢？
‘or 1=1’无论前面输入什么最终用户名验证都是True
'--'跳过密码验证

防Sql注入的方法：

1.带参数的Sql语句 : pymysql模块使用%s来实现

SQL语句参数化是解决SQL注入的最佳解决方案，在程序向数据库发送SQL执
行时，将SQL语句和参数分开传递，动态参数在SQL语句中使用占位符，在数
据库端在填入参数执行，即可规避SQL注入的问题，并提高了数据库执行效率。
• Python支持SQL参数化，动态参数用%s表示，cursor.execute()的第2个参数
位置进行SQL参数的传递，参数类型是tuple, list 或 dict。

user,pwd = "root","123456"
cursor = conn.cursor()
sql = "select * from tb_login where user = %s and pwd =%s "
cursor.execute(sql,(user,pwd))
row = cursor.fetchone()
print(row)

2.使用存储过程

存储过程（Stored Procedure）是一种在数据库中存储复杂程序，以便外
部程序调用的一种数据库对象。
• 存储过程是为了完成特定功能的SQL语句集，经编译创建并保存在数据库
中，用户可通过指定存储过程的名字并给定参数(需要时)来调用执行。
• 存储过程就是数据库 SQL 语言层面的代码封装与重用。
在stdDB数据库中创建一个存储过程p_login，如下：
CREATE PROCEDURE FindAllStu ( In p_stdID varchar(20))
BEGIN
Select * from StudentInfo where stdID = p_stdID ;
END
PyMysql模块调用存储过程：
cursor.callproc(func[,args])：调用一个存储过程