pymysql

pymysql 是一个第三方模块,帮我们封装了 建立表/用户认证/sql的执行/结果的获取

import pymysql

# 步骤

'''

1. 连接服务端

2. 用户认证

3. 发送指令

4. 提取结果

'''

# 1.连接服务器,获取连接对象(本质上就是封装好的socket)

conn = pymysql.connect(

    host = "127.0.0.1",  # 如果是本机,可以忽略

    port = 3306,         # 如果没有改过,可以忽略

    user = "root",

    password = "123",

    db = "test_7_17"

)

# 2.通过连接拿到游标对象

# 默认返回的游标是元祖类型,不方便使用,更换为字典类型的游标

c = conn.cursor(pymysql.cursors.DictCursor) 

# 3.执行sql

sql = "select * from user"

# 返回的是查询结果数量

count = c.execute(sql)

# 4.提取结果

print(c.fetchall()) # 查看所有

c.scroll(-2,mode="relative") # 因为查看完后,游标已经到最后面,所有要再次查看,就要移动游标,relative表示相对位置,即游标现在所在位置,-2表示,往前移动2个位置

print(c.fetchone()) # 查看一个值 默认是第一个,

c.scroll(0,mode="absolute") # absolute 表示绝对位置,即从第一个位置开始,0表示将游标移动到第一个位置

print(c.fetchmany(2)) # 查询多个括号内加参数,2表示查询2个值

# 5 关闭连接

c.close()

conn.close()

sql 注入攻击

​ 指的是一些程序员,在输入数据时,按照sql的语法规范,提交了用于攻击性目的的数据

如果避免这个问题?

​ 在服务端执行sql前 先做sql的验证

​ 在pymysql中,已经封装了验证操作,我们只需要将参数交给pymysql来做拼接即可.

import pymysql

conn = pymysql.connect(

    host = "127.0.0.1",

    port = 3306,

    user = "root",

    password = "123",

    db = "test_7_17"

    # autocommit = False  # 如果改成True 就表示开启自动提交,不常用,pymysql中默认开启事务,所以我们必须在每次执行完成后,commit提交下

)

c = conn.cursor(pymysql.cursors.DictCursor)

name = input("name>>>").strip()

pwd = input("pwd>>>").strip()

# 不能把变量名直接放到sql执行语句中,防止sql攻击

sql = "select * from user where name = %s and pwd = %s"

count = c.execute(sql,(name,pwd))

if count:

    print("登陆成功")

else:

    print("登陆失败")

print(c.fetchall())

c.scroll(-2,mode="relative")

print(c.fetchone())

c.scroll(0,mode="absolute")

print(c.fetchmany(2))

调用存储过程

# 创建存储过程

delimiter |

create procedure add1(in a int, in b int, out c int)

begin

set c = a + b;

end |

delimiter ;

# pymysql 中调用

import pymysql

conn = pymysql.connect(

    host = "127.0.0.1",

    port = 3306,

    user = "root",

    password = "123",

    db = "test_7_17")

c= conn.cursor(pymysql.cursors.DictCursor)

c.callproc("add1",(1,2,5)) # 1 对应 @_add1_0 ,2 对应 @_add1_1 , 5 对应 @_add1_2

c.execute("select @_add1_2") # 所以返回结果的调用得用第三个变量

print(c.fetchall())

# 调用存储过程时,传入参数,会自动定义成变量,

# 命名方式,@_过程的名称_参数的索引, 从0开始

python-pymysql防止sql注入攻击介绍的更多相关文章

  1. day40:python操作mysql:pymysql模块&SQL注入攻击

    目录 part1:用python连接mysql 1.用python连接mysql的基本语法 2.用python 创建&删除表 3.用python操作事务处理 part2:sql注入攻击 1.s ...

  2. SQL注入详细介绍及如何防范SQL注入式攻击

    一. SQL注入攻击的简单示例. statement := "SELECT * FROM Users WHERE Value= " + a_variable + " 上面 ...

  3. Python中防止sql注入的方法详解

    SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库.下面这篇文章主要给大家介绍了关于Python中 ...

  4. 使用SQLMAP对网站和数据库进行SQL注入攻击

    from:http://www.blackmoreops.com/2014/05/07/use-sqlmap-sql-injection-hack-website-database/ 0x00 背景介 ...

  5. PyMySQL防止SQL注入

    一.SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库. 二.SQL注入攻击的总体 ...

  6. MySQL数据库(六)-- SQL注入攻击、视图、事物、存储过程、流程控制

    一.SQL注入攻击 1.什么是SQL注入攻击 一些了解sql语法的用户,可以输入一些关键字 或合法sql,来导致原始的sql逻辑发生变化,从而跳过登录验证 或者 删除数据库 import pymysq ...

  7. MySQL数据库(六) —— SQL注入攻击、视图、事物、存储过程、流程控制

    SQL注入攻击.视图.事物.存储过程.流程控制 一.SQL注入攻击 1.什么是SQL注入攻击 import pymysql conn = pymysql.Connect( user="roo ...

  8. Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法

    sql注入攻击详解(二)sql注入过程详解 sql注入攻击详解(一)sql注入原理详解 我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法.怎么来解决和防范sql注入, ...

  9. 防止SQL注入攻击的一些方法小结

    SQL注入攻击的危害性很大.在讲解其防止办法之前,数据库管理员有必要先了解一下其攻击的原理.这有利于管理员采取有针对性的防治措施. 一. SQL注入攻击的简单示例. statement := &quo ...

随机推荐

  1. Redis缓存穿透、缓存雪崩、redis并发问题 并发竞争key的解决方案 (阿里)

    阿里的人问我 缓存雪崩(大量数据在同一时间过期了)了如何处理,缓存击穿了如何处理,回答的很烂,做了总结: 把redis作为缓存使用已经是司空见惯,但是使用redis后也可能会碰到一系列的问题,尤其是数 ...

  2. Gaze Estimation学习笔记(1)-Appearance-Based Gaze Estimation in the Wild

    目录 前言 简介 论文概述 论文主要内容 MPIIGaze数据集 引入CNN的新Gaze Estimation方法 人脸对齐与3D头部姿态判断 归一化 使用CNN进行视线检测 论文作者进行的实验及结果 ...

  3. ReentrantLock源码学习总结 (二)

    [^]: 以下源码分析基于JDK1.8 ReentrantLock 示例 private ReentrantLock lock = new ReentrantLock(true); public vo ...

  4. MySQL索引原理(三)

    多个单列索引和联合索引的区别详解 背景:为了提高数据库效率,建索引是家常便饭:那么当查询条件为2个及以上时,我们是创建多个单列索引还是创建一个联合索引好呢?他们之间的区别是什么?哪个效率高呢?我在这里 ...

  5. Ubuntu 安装最新版 (1.12) Golang 并使用 go mod

    wget https://dl.google.com/go/go1.12.4.linux-amd64.tar.gz sudo tar -zxvf go1.12.4.linux-amd64.tar.gz ...

  6. ANR日志分析

    2018年06月27日 16:28:13 Hello__code 阅读数 3427更多 分类专栏: bug记录   版权声明:本文为博主原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出 ...

  7. response.redirect 正在中止线程

    问题描述:正在中止线程问题原因:Response.End 方法终止页的执行,并将此执行切换到应用程序的事件管线中的 Application_EndRequest 事件.不执行 Response.End ...

  8. Linux下挂载超过2T的磁盘

    1.使用命令进入交互模式并且查看当前硬盘分区信息 parted /dev/sdb p 2.删除当前存在分区,并在此查看结果 rm 1 p 3.将硬盘格式化为gpt mklabel gpt 4.对磁盘分 ...

  9. docker run启动的容器挂掉了,数据怎么办

    情景描述 在某个系统中,功能性的服务使用 docker stack deploy xxx 启动,某个国产数据库的服务单独使用 docker run xxx 启动,数据库服务没有将存储的位置挂载出来: ...

  10. Eclipse 修改(重定向)SVN地址

    由于SVN服务器IP变了,需要重定向SVN的路径 1.点击右上角1位置的按钮,然后选择需要打开的窗口(SVN资源库) 2.右击SVN资源库中的项目,选择重定向,然后修改新的URL即可 1. 进入本地s ...