SQL注入及python操作MySQL
2021/7/31 19:39:03
本文主要是介绍SQL注入及python操作MySQL,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
MySQL
常用SQL语句
# 1. 添加字段 alter table t1 add age int 约束条件 ; # 添加关键字之后 alter table t1 add age int after id alter table t1 add age int first # 2. 修改字段 # modify只能修改数据类型,不能修改字段名 alter table dep modify name varchar(64); # 修改字段名 alter table dep change name name1 varchar(64); # 3. 删除字段 alter table dep drop name1;
python控制MySQL
import pymysql conn = pymysql.connect( host='127.0.0.1', port=3306, user='root', passwd='root', charset='utf8', db='wuc', # 数据库名 autocommit=True # 增删改二次确认 ) cursor = conn.cursor(cursor=pymysql.cursors.DictCursor) sql = 'insert into book(title,price) values("aa",111)' res=cursor.execute(sql) # 执行SQL语句所影响的行数 print(res) cursor.fetchall() # 获取结果 print(cursor.fetchall()) conn.close()
SQL注入问题
username = input('>>>').strip() password = input('>>>').strip() sql = 'select * from userinfo where name = %s and password = %s' res = cursor.execute(sql, (username, password)) # 参数放在这里 # print(res) result = cursor.fetchone() # print(cursor.fetchall()) if result: print('登陆成功') else: print('失败') conn.close()
触发器
触发器专门针对我们对某一张表数据增insert、删delete、改update的行为,这类行为一旦执行 就会触发触发器的执行,即自动运行另外一段sql代码
创建触发器语法
"""语法结构 create trigger 触发器的名字 before/after insert/update/delete on 表名 for each row begin sql语句 end """ # 针对插入 create trigger tri_after_insert_t1 after insert on 表名 for each row begin sql代码。。。 end create trigger tri_after_insert_t2 before insert on 表名 for each row begin sql代码。。。 end # 针对删除 create trigger tri_after_delete_t1 after delete on 表名 for each row begin sql代码。。。 end create trigger tri_after_delete_t2 before delete on 表名 for each row begin sql代码。。。 end # 针对修改 create trigger tri_after_update_t1 after update on 表名 for each row begin sql代码。。。 end create trigger tri_after_update_t2 before update on 表名 for each row begin sql代码。。。 end """ 需要注意 在书写sql代码的时候结束符是; 而整个触发器的结束也需要分号; 这就会出现语法冲突 需要我们临时修改结束符号 delimiter $$ delimiter ; 该语法只在当前窗口有效 """ # 案例 CREATE TABLE cmd ( id INT PRIMARY KEY auto_increment, USER CHAR (32), priv CHAR (10), cmd CHAR (64), sub_time datetime, #提交时间 success enum ('yes', 'no') #0代表执行失败 ); CREATE TABLE errlog ( id INT PRIMARY KEY auto_increment, err_cmd CHAR (64), err_time datetime ); delimiter $$ # 将mysql默认的结束符由;换成$$ create trigger tri_after_insert_cmd after insert on cmd for each row begin if NEW.success = 'no' then # 新记录都会被MySQL封装成NEW对象 insert into errlog(err_cmd,err_time) values(NEW.cmd,NEW.sub_time); end if; end $$ delimiter ; # 结束之后记得再改回来,不然后面结束符就都是$$了 #往表cmd中插入记录,触发触发器,根据IF的条件决定是否插入错误日志 INSERT INTO cmd ( USER, priv, cmd, sub_time, success ) VALUES ('egon','0755','ls -l /etc',NOW(),'yes'), ('egon','0755','cat /etc/passwd',NOW(),'no'), ('egon','0755','useradd xxx',NOW(),'no'), ('egon','0755','ps aux',NOW(),'yes'); # 查询errlog表记录 select * from errlog; # 删除触发器 drop trigger tri_after_insert_cmd;
事务
开启一个事务可以包含一些sql语句,这些sql语句要么同时成功 要么一个都别想成功,称之为事务的原子性
事务的作用
保证了对数据操作的数据安全性 事务应该具有4个属性:原子性、一致性、隔离性、持久性。这四个属性通常称为ACID特性。
如何用
# 先介绍事务的三个关键字 再去用表实际展示效果 create table user( id int primary key auto_increment, name char(32), balance int ); insert into user(name,balance) values ('jason',1000), ('egon',1000), ('tank',1000); # 修改数据之前先开启事务操作 start transaction; # 修改操作 update user set balance=900 where name='jason'; #买支付100元 update user set balance=1010 where name='egon'; #中介拿走10元 update user set balance=1090 where name='tank'; #卖家拿到90元 # 回滚到上一个状态 rollback; # 开启事务之后,只要没有执行commit操作,数据其实都没有真正刷新到硬盘 commit; """开启事务检测操作是否完整,不完整主动回滚到上一个状态,如果完整就应该执行commit操作""" # 站在python代码的角度,应该实现的伪代码逻辑, try: update user set balance=900 where name='jason'; #买支付100元 update user set balance=1010 where name='egon'; #中介拿走10元 update user set balance=1090 where name='tank'; #卖家拿到90元 except 异常: rollback; else: commit;
存储过程
存储过程包含了一系列可执行的sql语句,存储过程存放于MySQL中,通过调用它的名字可以执行其内部的一堆sql,类似于python中的自定义函数 基本使用 delimiter $$ create procedure p1() begin select * from user; end $$ delimiter ; # 调用 call p1()
函数
注意与存储过程的区别,mysql内置的函数只能在sql语句中使用!参考博客:<http://www.cnblogs.com/linhaifeng/articles/7495918.html#_label2>
索引
知识回顾:数据都是存在硬盘上的,那查询数据不可避免的需要进行IO操作索引就是一种数据结构,类似于书的目录。意味着以后再查数据应该先找目录再找数据,而不是用翻页的方式查询数据
这篇关于SQL注入及python操作MySQL的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-12-07MySQL读写分离入门:轻松掌握数据库读写分离技术
- 2024-12-07MySQL读写分离入门教程
- 2024-12-07MySQL分库分表入门详解
- 2024-12-07MySQL分库分表入门指南
- 2024-12-07MySQL慢查询入门:快速掌握性能优化技巧
- 2024-12-07MySQL入门:新手必读的简单教程
- 2024-12-07MySQL入门:从零开始学习MySQL数据库
- 2024-12-07MySQL索引入门:新手快速掌握MySQL索引技巧
- 2024-12-06BinLog学习:MySQL数据库BinLog入门教程
- 2024-12-06Binlog学习:MySQL数据库的日志管理入门教程