Python 与 MySQL 进行增删改查的操作以及防止SQL注入

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,高可用系列 2核4GB
简介: Python 与 MySQL 进行增删改查的操作以及防止SQL注入

Python 与 MySQL 进行增删改查的操作以及防止SQL注入

在 Python 中使用 MySQL 数据库操作非常方便,通过 PyMySQL 这个第三方库,我们可以轻松地实现 MySQL 数据库的连接、查询、添加、修改和删除等操作。下面通过一个简单的示例来演示如何实现 MySQL 数据库的基本操作。

  • 准备工作

在进行实验前,需要先安装 PyMySQL 库,可以通过以下命令进行安装:

pip install pymysql

我们还需要在 MySQL 中创建一个数据库和一张表,假设我们创建的数据库名为 testdb,表名为 users,包含以下两个字段:

id INT(11) PRIMARY KEY AUTO_INCREMENT,
name VARCHAR(20) NOT NULL,
age INT(3) NOT NULL
  • 连接数据库

首先,我们需要建立与 MySQL 数据库的连接。可以通过以下代码实现:

import pymysql
# 建立数据库连接
conn = pymysql.connect(
    host='localhost',  # 连接的数据库服务器地址
    user='root',  # 连接的数据库用户名
    password='123456',  # 连接的数据库密码
    db='testdb',  # 连接的数据库名称
    charset='utf8mb4',  # 设定字符集
    cursorclass=pymysql.cursors.DictCursor  # 以字典类型返回查询结果
)
  • 插入数据

接下来,我们可以通过以下代码向 users 表中插入一条数据:

# 获取一个游标对象
cursor = conn.cursor()
# 插入一行数据
sql = "INSERT INTO users (name, age) VALUES (%s, %s)"
cursor.execute(sql, ('张三', 25))
# 提交事务
conn.commit()
# 关闭游标和数据库连接
cursor.close()
conn.close()

在这段代码中,%s 是使用占位符的方式,可以有效地避免 SQL 注入问题。

  • 查询数据

接下来,我们可以通过以下代码查询 users 表中的所有数据,然后将查询结果打印出来:

# 获取游标对象
cursor = conn.cursor()
# 执行查询操作
sql = "SELECT * FROM users"
cursor.execute(sql)
# 获取查询结果
result = cursor.fetchall()
# 输出查询结果
for row in result:
    print(row)
# 关闭游标和数据库连接
cursor.close()
conn.close()
  • 更新数据

接下来,我们可以通过以下代码将 users 表中 id 为 1 的数据的 age 字段更新为 30:

# 获取游标对象
cursor = conn.cursor()
# 更新一行数据
sql = "UPDATE users SET age = %s WHERE id = %s"
cursor.execute(sql, (30, 1))
# 提交事务
conn.commit()
# 关闭游标和数据库连接
cursor.close()
conn.close()
  • 删除数据

最后,我们可以通过以下代码删除 users 表中 id 为 1 的数据:

# 获取游标对象
cursor = conn.cursor()
# 删除一行数据
sql = "DELETE FROM users WHERE id = %s"
cursor.execute(sql, 1)
# 提交事务
conn.commit()
# 关闭游标和数据库连接
cursor.close()
conn.close()

以上就是 Python 与 MySQL 数据库进行增删改查的基本操作,通过这些简单的示例,你可以快速入门 PyMySQL 库的使用。

防止 SQL 注入

SQL 注入是一种常见的网络攻击方式,它的原理是通过将恶意 SQL 代码注入到应用程序中,从而获取数据库中的敏感信息。在开发 Python 应用程序时,为了确保程序的安全性,我们需要采取一些措施来防止 SQL 注入的发生。

  • 使用占位符

使用占位符是一种有效的防止 SQL 注入的方式。在使用 SQL 语句时,我们可以通过占位符的方式传递参数,从而避免 SQL 注入的风险。以下代码就是一个使用占位符的示例:

# 获取游标对象
cursor = conn.cursor()
# 插入一行数据
sql = "INSERT INTO users (name, age) VALUES (%s, %s)"
cursor.execute(sql, ('张三', 25))
# 提交事务
conn.commit()
# 关闭游标和数据库连接
cursor.close()
conn.close()

在这段代码中,%s 就是占位符,它可以将传递的参数进行处理,从而避免 SQL 注入的风险。

  • 使用参数化查询

参数化查询是另一种有效的防止 SQL 注入的方式。在使用参数化查询时,我们可以将 SQL 语句与参数分离开来,从而避免恶意代码的注入。以下代码就是一个使用参数化查询的示例:

# 获取游标对象
cursor = conn.cursor()
# 执行查询操作
sql = "SELECT * FROM users WHERE name = %s"
cursor.execute(sql, ('张三',))
# 获取查询结果
result = cursor.fetchall()
# 输出查询结果
for row in result:
    print(row)
# 关闭游标和数据库连接
cursor.close()
conn.close()

在这段代码中,%s 作为参数传递给 cursor.execute() 函数,而不是直接包含在 SQL 语句中,从而避免了 SQL 注入的风险。

  • 过滤输入内容

在编写 Python 程序时,我们应该对用户输入的内容进行过滤和验证,确保输入的内容符合预期。在处理 SQL 语句时,我们应该过滤掉一些特殊字符,如单引号、双引号、分号等,从而减少 SQL 注入的风险。

  • 总结

以上就是在 Python 中防止 SQL 注入的方式,通过使用占位符、参数化查询和过滤输入内容等方法,我们可以有效地保护 Python 应用程序的安全性,避免 SQL 注入的发生。

相关实践学习
如何快速连接云数据库RDS MySQL
本场景介绍如何通过阿里云数据管理服务DMS快速连接云数据库RDS MySQL,然后进行数据表的CRUD操作。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
目录
打赏
0
0
0
0
5
分享
相关文章
Unity连接Mysql数据库 增 删 改 查
在 Unity 中连接 MySQL 数据库,需使用 MySQL Connector/NET 作为数据库连接驱动,通过提供服务器地址、端口、用户名和密码等信息建立 TCP/IP 连接。代码示例展示了如何创建连接对象并执行增删改查操作,确保数据交互的实现。测试代码中,通过 `MySqlConnection` 类连接数据库,并使用 `MySqlCommand` 执行 SQL 语句,实现数据的查询、插入、删除和更新功能。
MySQL进阶突击系列(07) 她气鼓鼓递来一条SQL | 怎么看执行计划、SQL怎么优化?
在日常研发工作当中,系统性能优化,从大的方面来看主要涉及基础平台优化、业务系统性能优化、数据库优化。面对数据库优化,除了DBA在集群性能、服务器调优需要投入精力,我们研发需要负责业务SQL执行优化。当业务数据量达到一定规模后,SQL执行效率可能就会出现瓶颈,影响系统业务响应。掌握如何判断SQL执行慢、以及如何分析SQL执行计划、优化SQL的技能,在工作中解决SQL性能问题显得非常关键。
MySQL原理简介—1.SQL的执行流程
本文介绍了MySQL驱动、数据库连接池及SQL执行流程的关键组件和作用。主要内容包括:MySQL驱动用于建立Java系统与数据库的网络连接;数据库连接池提高多线程并发访问效率;MySQL中的连接池维护多个数据库连接并进行权限验证;网络连接由线程处理,监听请求并读取数据;SQL接口负责执行SQL语句;查询解析器将SQL语句解析为可执行逻辑;查询优化器选择最优查询路径;存储引擎接口负责实际的数据操作;执行器根据优化后的执行计划调用存储引擎接口完成SQL语句的执行。整个流程确保了高效、安全地处理SQL请求。
128 75
MySQL原理简介—10.SQL语句和执行计划
本文介绍了MySQL执行计划的相关概念及其优化方法。首先解释了什么是执行计划,它是SQL语句在查询时如何检索、筛选和排序数据的过程。接着详细描述了执行计划中常见的访问类型,如const、ref、range、index和all等,并分析了它们的性能特点。文中还探讨了多表关联查询的原理及优化策略,包括驱动表和被驱动表的选择。此外,文章讨论了全表扫描和索引的成本计算方法,以及MySQL如何通过成本估算选择最优执行计划。最后,介绍了explain命令的各个参数含义,帮助理解查询优化器的工作机制。通过这些内容,读者可以更好地理解和优化SQL查询性能。
【MySQL基础篇】全面学习总结SQL语法、DataGrip安装教程
本文详细介绍了MySQL中的SQL语法,包括数据定义(DDL)、数据操作(DML)、数据查询(DQL)和数据控制(DCL)四个主要部分。内容涵盖了创建、修改和删除数据库、表以及表字段的操作,以及通过图形化工具DataGrip进行数据库管理和查询。此外,还讲解了数据的增、删、改、查操作,以及查询语句的条件、聚合函数、分组、排序和分页等知识点。
【MySQL基础篇】全面学习总结SQL语法、DataGrip安装教程
MySQL/SqlServer跨服务器增删改查(CRUD)的一种方法
通过上述方法,MySQL和SQL Server均能够实现跨服务器的增删改查操作。MySQL通过联邦存储引擎提供了直接的跨服务器表访问,而SQL Server通过链接服务器和分布式查询实现了灵活的跨服务器数据操作。这些技术为分布式数据库管理提供了强大的支持,能够满足复杂的数据操作需求。
98 12
Docker Compose V2 安装常用数据库MySQL+Mongo
以上内容涵盖了使用 Docker Compose 安装和管理 MySQL 和 MongoDB 的详细步骤,希望对您有所帮助。
76 42
【深入了解MySQL】优化查询性能与数据库设计的深度总结
本文详细介绍了MySQL查询优化和数据库设计技巧,涵盖基础优化、高级技巧及性能监控。
196 0
数据库传奇:MySQL创世之父的两千金My、Maria
《数据库传奇:MySQL创世之父的两千金My、Maria》介绍了MySQL的发展历程及其分支MariaDB。MySQL由Michael Widenius等人于1994年创建,现归Oracle所有,广泛应用于阿里巴巴、腾讯等企业。2009年,Widenius因担心Oracle收购影响MySQL的开源性,创建了MariaDB,提供额外功能和改进。维基百科、Google等已逐步替换为MariaDB,以确保更好的性能和社区支持。掌握MariaDB作为备用方案,对未来发展至关重要。
72 3
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等