上课笔记

重点:(熟练)
多表查询
创建存储过程
原生sql
索引原理
pymysql  封装好的客户端
cursor 底层就是一个send操作
commit 告诉mysql真的要完成修改操作(不然修改不会生效)
execute 执行
查询不需要commit

password(‘123’) 可以得到hash,mysql自带的

sql中--代表注释 后面都无效

sql注入 不需要账号,密码就可登陆网站了
跳过前端筛选,所以在应用程序也要在检测
怎么解决sql注入问题
popen 看一下

cursor.fetchall() 拿到查询的结果  从管道里拿值

ctrl /注释  ctrl shift /解除注释

视图不要改,只是为了方便查询,不需要重复连接

以后视图轻易不要用,查询有变动要联系别人DBA修改,很麻烦,不推荐用,自己的数据库可以用视图

delimiter 重新声明一下sql语句结束标志
结束后需要还原 delimiter;

transaction 事务,交易
但凡遇到转账,交易之类需要用

rollback  回滚 遇到commit回滚就是修改后的数据

存储过程 封装视图,触发器,函数等 直接调用存储过程名
无参存储过程
delimiter $$
create procedure p1()
BEGIN
......
END
delimiter ;


delimiter $$
create procedure p1()
BEGIN
    declare n int default 1;
    while (n<100) do
        insert into s1 values(n,concat('egon',n),'male',concat('egon',n,'@163.com'));
        set n = n+1;
    end while;
......
END
delimiter ;

基于pymysql模块的增删改查

1.基于pymysql插入操作(有注释)



pymysql 批量插入mysql_mysql

pymysql 批量插入mysql_ViewUI_02



1 import pymysql
 2 
 3 # 首先要建立和数据库的链接
 4 client=pymysql.connect(
 5     host='127.0.0.1',
 6     port=3306,
 7     user='root',
 8     password='egon123',
 9     database='db6',
10     charset='utf8'
11 )
12 
13 cursor1=client.cursor() # cursor是游标,执行结果默认返回元组
14 
15 sql='insert into t1 values(1,"egon");'  # 插入sql语句
16 try:
17     res=cursor1.execute(sql)  # 执行sql语句
18     print(res)
19     client.commit()  # 加上commit告诉mysql需要完成插入修改操作,不加插入不会生效。
20 except Exception: # 如果sql语句执行出现异常捕捉到就执行回滚操作,把执行成功的语句都撤销
21     client.rollback()
22 
23 cursor1.close() # 最后记得关闭游标
24 client.close()  # 关闭连接


基于pymysql执行插入操作


 

2.-- 是mysql语句中注释

1、sql注入之一:用户存在,绕过密码
egon' -- 任意字符

2、sql注入之二:用户不存在,绕过用户与密码
xxx' or 1=1 -- 任意字符  1=1是True
sql注入 不需要账号,密码就可登陆网站了
现在网站不让输入特殊字符,就是因为这个原因。
跳过前端筛选,所以在应用程序也要在检测。
3.基于pymysql增删操作(有注释)



pymysql 批量插入mysql_mysql

pymysql 批量插入mysql_ViewUI_02



1 import pymysql
 2 
 3 client=pymysql.connect(
 4     host='127.0.0.1',
 5     port=3306,
 6     user='root',
 7     password='egon123',
 8     database='db6',
 9     charset='utf8'
10 )
11 
12 cursor=client.cursor()
13 
14 sql='insert into t1 values(3,"alex"),(4,"lxx");'
15 userinfo=[
16     (3,"alex"),
17     (4,"lxx"),
18     (5,"yxx")
19 ]
20 for user in userinfo: # 插入操作
21     sql='insert into t1 values(%s,"%s");' %(user[0],user[1])
22     # print(sql)
23     cursor.execute(sql)  # 返回的是执行成功的行数
24 
25 sql='insert into t1 values(%s,%s);'
26 cursor.executemany(sql,userinfo)  # 插入多条记录,它的运行原理就是循环userinfo。
27 
28 cursor.execute('delete from t1 where id=3;')  # 删除操作
29 
30 client.commit()  # 这个想要修改成功必须要加
31 
32 cursor.close()
33 client.close()


基于pymysql增删操作


 

4.基于pymysql在数据库中进行查询

4.1 存在注入问题的登陆



pymysql 批量插入mysql_mysql

pymysql 批量插入mysql_ViewUI_02



1 import pymysql
 2 
 3 client=pymysql.connect(
 4     host='127.0.0.1',
 5     port=3306,
 6     user='root',
 7     password='egon123',
 8     database='db6',
 9     charset='utf8'
10 )
11 
12 cursor=client.cursor()
13 #查询
14 inp_user=input('输入账号名: ').strip()
15 inp_pwd=input('输入密码: ').strip()
16 # 在sql语句里password(字符串) 执行hash操作,一般我们不用,都会调用hashlib来完成
17 # sql='select id from user where name = "%s" and pwd = password("%s");' %(inp_user,inp_pwd)
18 sql='select id from user where name = "%s" and pwd = "%s";' %(inp_user,inp_pwd)
19 print(sql)
20 rows=cursor.execute(sql)  # 返回的是行数,执行成功rows就不为0,if rows就为True
21 if rows: # rows返回值不为0,就显示登陆成功
22     print('\033[45m登陆成功\033[0m')
23 else:
24     print('\033[46m用户名或密码错误\033[0m')
25 
26 cursor.close() # 日常两个关闭操作
27 client.close()


存在注入问题


 

4.2 解决注入问题(有注释)



pymysql 批量插入mysql_mysql

pymysql 批量插入mysql_ViewUI_02



1 import pymysql
 2 
 3 client=pymysql.connect(
 4     host='127.0.0.1',
 5     port=3306,
 6     user='root',
 7     password='egon123',
 8     database='db6',
 9     charset='utf8'
10 )
11 
12 cursor=client.cursor()
13 #查询
14 inp_user=input('输入账号名: ').strip()
15 inp_pwd=input('输入密码: ').strip()
16 
17 # 放到cursor.execute()里,sql语句会把%s自动识别为字符串,不需要再加引号
18 sql='select id from user where name = %s and pwd = %s;'
19 rows=cursor.execute(sql,(inp_user,inp_pwd))
20 if rows:
21     print('\033[45m登陆成功\033[0m')
22 else:
23     print('\033[46m用户名或密码错误\033[0m')
24 
25 cursor.close()
26 client.close()


解决注入问题


 

4.3 获取查询结果



pymysql 批量插入mysql_mysql

pymysql 批量插入mysql_ViewUI_02



1 # 提交查询语句并且拿到查询结果
 2 import pymysql
 3 
 4 client=pymysql.connect(
 5     host='127.0.0.1',
 6     port=3306,
 7     user='root',
 8     password='egon123',
 9     database='db6',
10     charset='utf8'
11 )
12 
13 cursor=client.cursor(pymysql.cursors.DictCursor)
14 #查询
15 
16 sql='select * from user where id > 3'
17 rows=cursor.execute(sql)
18 print(rows)
19 print(cursor.fetchall())  # 获得所有的记录
20 print(cursor.fetchall())
21 
22 print(cursor.fetchone()) # 获得一个记录
23 print(cursor.fetchone())
24 print(cursor.fetchone())
25 
26 print(cursor.fetchmany(2)) # 获得多个记录,括号里可以指定记录
27 print(cursor.fetchone())
28 
29 
30 
31 
32 print(cursor.fetchall())
33 # cursor.scroll(0,mode='absolute') # 绝对位置移动
34 # cursor.scroll(1,mode='absolute') # 绝对位置移动
35 print(cursor.fetchall())
36 
37 
38 print(cursor.fetchone())
39 cursor.scroll(2,mode='relative') # 相对当前位置移动
40 print(cursor.fetchone())
41 
42 cursor.close()
43 client.close()


获取查询结果