5月11日 python学习总结 子查询、pymysql模块增删改查、防止sql注入问题
一、子查询
子查询:把一个查询语句用括号括起来,当做另外一条查询语句的条件去用,称为子查询
select emp.name from emp inner join dep on emp.dep_id = dep.id where dep.name="技术";
select name from emp where dep_id =
(select id from dep where name="技术");
查询平均年龄在25岁以上的部门名
select name from dep where id in
(select dep_id from emp group by dep_id having avg(age) > 25);
select dep.name from emp inner join dep on emp.dep_id = dep.id
group by dep.name
having avg(age) > 25;
查看不足2人的部门名(子查询得到的是有人的部门id)
补:exists存在
select * from emp where exists (
select id from dep where id > 3
);
查询每个部门最新入职的那位员工
select t1.id,t1.name,t1.post,t1.hire_date,t2.post,t2.max_date from emp as t1 inner join
(select post,max(hire_date) as max_date from emp group by post) as t2
on t1.post = t2.post
where t1.hire_date = t2.max_date
;
二、pymysql模块
基本操作之查询:
import pymysql #pip3 install pymysql conn=pymysql.connect(
host='127.0.0.1',
port=3306,
user='root',
password='123',
database='db42',
charset='utf8'
)
cursor=conn.cursor(pymysql.cursors.DictCursor) #查询结果以字典形式显示 sql='select * from class;'
rows=cursor.execute(sql) #执行一条sql语句,返回值是执行结果的行数
print(rows) print(cursor.fetchone()) #取出一行执行结果,光标向后移动一位
print(cursor.fetchone()) #取出第二行执行结果 光标向后移动一位
print(cursor.fetchmany(2)) #取出两行执行结果 光标向后移动两位
print(cursor.fetchall()) #取出剩余的全部
print(cursor.fetchall()) # print(cursor.fetchall())
# cursor.scroll(3,'absolute') # 绝对路径 光标从最开始的位置开始向后移动3个位置
# print(cursor.fetchone()) #取出当前光标所在位置的数据,并将光标后移 print(cursor.fetchone())
print(cursor.fetchone())
cursor.scroll(1,'relative') #相对路径 光标从当前位置开始向后移动3个位置
print(cursor.fetchone()) conn.commint() #提交事务
cursor.close()
conn.close()
基本操作之增改:
import pymysql #pip3 install pymysql conn=pymysql.connect(
host='127.0.0.1',
port=3306,
user='root',
password='123',
database='db42',
charset='utf8'
)
cursor=conn.cursor(pymysql.cursors.DictCursor) #一次插入一行记录
sql='insert into user(username,password) values(%s,%s)'
rows=cursor.execute(sql,('EGON','123456'))
print(rows)
print(cursor.lastrowid) rows=cursor.execute('update user set username="alexSB" where id=2')
print(rows) # 一次插入多行记录
sql='insert into user(username,password) values(%s,%s)'
rows=cursor.executemany(sql,[('lwz','123'),('evia','455'),('lsd','333')])
print(rows)
print(cursor.lastrowid) conn.commit() # 只有commit提交才会完成真正的修改
cursor.close()
conn.close()
三、防止sql注入问题
1、当输入 正确的用户名 并在其后加上 '--' sql注释符时, 我们执行这条sql 后边的密码验证判断就被注释掉了,从而没有密码就可以登录
2、 或者 在用户输入用户名时,随意输入用户名 并加上 'or 1=1' 这种语句,则跳过了账户密码的验证直接登陆进去了
所以rows=cursor.execute(sql)这种拼接sql ,直接执行的方法并不可靠
import pymysql #pip3 install pymysql conn=pymysql.connect(
host='127.0.0.1',
port=3306,
user='root',
password='123',
database='db42',
charset='utf8'
)
cursor=conn.cursor(pymysql.cursors.DictCursor) inp_user=input('用户名>>:').strip() #inp_user=""
inp_pwd=input('密码>>:').strip() #inp_pwd=""
sql="select * from user where username='%s' and password='%s'" %(inp_user,inp_pwd) #1、当输入 正确的用户名 并在其后加上 '--' sql注释符时, 我们执行这条sql 后边的密码验证判断就被注释掉了,从而没有密码就可以登录
#2、 或者 在用户输入用户名时,随意输入用户名 并加上 'or 1=1' 这种语句,则跳过了账户密码的验证直接登陆进去了 rows=cursor.execute(sql) #所以这种拼接sql ,直接执行的方法并不可靠
if rows:
print('登录成功')
else:
print('登录失败') cursor.close()
conn.close()
解决办法:
pymysql 为我们提供了过滤字符串中特殊符号的功能
使用如下方法传入参数,会自动帮我们过滤掉特殊字符,防止sql注入
inp_user=input('用户名>>:').strip() #inp_user=""
inp_pwd=input('密码>>:').strip() #inp_pwd=""
sql="select * from user where username=%s and password=%s"
rows=cursor.execute(sql,(inp_user,inp_pwd))
5月11日 python学习总结 子查询、pymysql模块增删改查、防止sql注入问题的更多相关文章
- 4月11日 python学习总结 对象与类
1.类的定义 #类的定义 class 类名: 属性='xxx' def __init__(self): self.name='enon' self.age=18 def other_func: pas ...
- 6月11日 python学习总结 框架理论
Web框架本质及第一个Django实例 Web框架本质 我们可以这样理解:所有的Web应用本质上就是一个socket服务端,而用户的浏览器就是一个socket客户端. 这样我们就可以自己实现Web ...
- 4月19日 python学习总结 套接字模块的使用
服务端: import socket phone=socket.socket(socket.AF_INET,socket.SOCK_STREAM) # 买电话 phone.bind(('127.0.0 ...
- python学习之列表的定义以及增删改查
列表定义: >>> name['lily','lucy','tom'] >>> nums = [11,22,33,'100','lily'] #python中的列表 ...
- mysql python pymysql模块 增删改查 插入数据 介绍 commit() execute() executemany() 函数
import pymysql mysql_host = '192.168.0.106' port = 3306 mysql_user = 'root' mysql_pwd = ' encoding = ...
- mysql python pymysql模块 增删改查 查询 fetchone
import pymysql mysql_host = '192.168.0.106' port = 3306 mysql_user = 'root' mysql_pwd = ' encoding = ...
- mysql python pymysql模块 增删改查 查询 字典游标显示
我们看到取得结果是一个元祖,但是不知道是哪个字段的,如果字段多的时候,就比较麻烦 ''' (1, 'mike', '123') (2, 'jack', '456') ''' 用字典显示查询的结果,也可 ...
- mysql python pymysql模块 增删改查 查询 fetchmany fetchall函数
查询的fetchmany fetchall函数 import pymysql mysql_host = '192.168.0.106' port = 3306 mysql_user = 'root' ...
- python链接oracle数据库以及数据库的增删改查实例
初次使用python链接oracle,所以想记录下我遇到的问题,便于向我这样初次尝试的朋友能够快速的配置好环境进入开发环节. 1.首先,python链接oracle数据库需要配置好环境. 我的相关环境 ...
随机推荐
- Java中的多线程你只要看这一篇就够了(引用)
引 如果对什么是线程.什么是进程仍存有疑惑,请先Google之,因为这两个概念不在本文的范围之内. 用多线程只有一个目的,那就是更好的利用cpu的资源,因为所有的多线程代码都可以用单线程来实现.说这个 ...
- 带你十天轻松搞定 Go 微服务之大结局(分布式事务)
序言 我们通过一个系列文章跟大家详细展示一个 go-zero 微服务示例,整个系列分十篇文章,目录结构如下: 环境搭建 服务拆分 用户服务 产品服务 订单服务 支付服务 RPC 服务 Auth 验证 ...
- nginx 配置文件与日志模块
内容概要 Nginx 虚拟主机 基于多 IP 的方式 基于多端口的方式 基于多域名的方式 日志配置(日志格式详解) Nginx 访问控制模块(可以去 Nginx.org 文档 documentatio ...
- JMM之Java线程间通讯——等待通知机制及其经典范式
在并发编程中,实际处理涉及两个关键问题:线程之间如何通信及线程之间如何同步(这里的线程是指并发执行的活动实体). 通信是指线程之间以何种机制来交换信息.在共享内存的并发模型里,线程之间共享程序的公共状 ...
- [LeetCode]1108. IP 地址无效化
给你一个有效的 IPv4 地址 address,返回这个 IP 地址的无效化版本. 所谓无效化 IP 地址,其实就是用 "[.]" 代替了每个 ".". 示例 ...
- NSSCTF-[鹤城杯 2021]A_MISC
下载压缩包,解压需要输入密码,使用winhex打开发现不是zip的伪加密,然后使用爆破工具进行爆破得到密码 解压压缩包获得一个png打开是一个URL,常用的都知道,百度网盘的文件分享的链接,复制打开U ...
- Meterpreter文件系统命令
实验目的 掌握Meterpreter的文件系统命令 实验原理 1.Meterpreter介绍 meterpreter是metasploit框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷 ...
- BI系统:发挥大数据的价值
大数据是指大数据集,这些数据集经过计算分析以揭示与数据的某个方面相关的模式和趋势.首先,还是要重新审视大数据的定义.行业里对大数据的定义有很多,有广义的定义,也有狭义的定义. 大数据的分析与挖掘,把 ...
- 5.string字符串
string(字符串)是 Redis 中最简单的数据类型.我们知道,Redis 所有数据类型都是以 key 作为键,通过检索这个 key 就可以获取相应的 value 值.Redis 存在多种数据类型 ...
- WIN10:字体文件路径
比如编程时要用到Arial字体,Arial的字体绝对路径为 C:\Windows\Fonts\Arial.ttf 注意字体文件的后缀都是ttf