python中的mysql驱动(库)
python中封装了与mysql服务之间的通讯接口,从而实现在Python程序中简单方法调用就可以实现数据库操作。
连接数据库进行操作需要支持数据库和网络传输的大量协议,直接使用socket连接数据库并进行通信是相当复杂的,所以Python提供了访问数据库的接口,这些协议和复杂操作都被封装在底层的协议中,不用我们自己实现。
提供的驱动(库)
- MySQLdb
这是较为底层的库,但是该库只支持Python2,但不能支持Python3且不再更新。
- mysqlclient
在MySQLdb上,增加了Python3的支持
- pymysql
语法兼容MySQLdb,使用纯Python写的MySQLdb客户端,支持Python2.7,3.4+,MySQL5.5+,MariaDB 5.5+
pymysql使用
使用pymysql连接某一个数据库,通过cursor方法获取一个游标,这样就可以直接使用这个游标执行sql语句,进行数据库的交互操作了。由于调用了数据库,注意异常捕获和最后的资源释放
基本使用
一般流程
- 建立连接
- 获取游标
- 执行SQL
- 提交事务(失败回滚)
- 释放资源
import pymysql conn = None try: conn = pymysql.connect(host="127.0.0.1", user="root", password="root", databse="test", port=3306) # 指定ip,端口,用户,密码,库等信息 cursor = conn.cursor() # 指定一个游标,库中指定了部分cursor类型 n = cursor.execute("select * from table_name") # 在execute方法中写入SQL语句,进行查询,返回服务端对应的操作的行数。并不是返回查询的结果。结果被保存在cursor中。 # 获取查询的结果,使用fetchone, fetchall, fetchmany函数均可 cursor.fetchone() # 从返回的结果集中返回一条 cursor.fetchall() # 获取剩余的所有结果 cursor.fetchmany(3) # 无法在获取,cursor位置已到最后 # cursor.rownumber 记录了当前cursor的位置,重置即可再次访问这些数据 cursor.rownumber = 0 # 回到开始,该 数值正负都支持,超界不报错 except Exception as e: # 记录错误日志 logging.error(e) if conn: conn.rollback() # 事务中发生了错误,将执行的结果回滚。 finally: # 关闭链接和cursor cursor.close() if conn: conn.close()
可以同时在conn 上创建多个cursor 对象,这些cursor之间互不影响。
上下文管理器的使用
conn对象和cursor对象均可以使用with上下文管理器
conn
conn 是Connections.py 下的Connection 类实例,Connection 中的源码定义如下:
class Connection: def __enter__(self): warnings.warn( "Context manager API of Connection object is deprecated; Use conn.begin()", DeprecationWarning) return self.cursor() # 返回一个cursor # 执行提交或回滚 def __exit__(self, exc, value, traceback): if exc: self.rollback() else: self.commit()
使用示例
conn = pymysql.connect(host="127.0.0.1", user="root", password="root", databse="test", port=3306) with conn as cursor: cursor.execute("update table_name set name='tom' where name='jerry'") # conn 的 enter 方法返回一个cursor 对象,exit将事务提交commit
conn 对象的上下文管理并不会将关闭这个连接,最后我们必须手动关闭这连接,避免系统资源浪费。
cursor
cursor上下文管理源码:
class Cursor(object): def __enter__(self): # 返回自身 return self def __exit__(self, *exc_info): # 结束时关闭这个 cursor del exc_info self.close()
cursor 的上下文管理结束时会自动关闭这个cursor。示例
import pymysql conn = None try: conn = pymysql.connect(host="127.0.0.1", user="root", password="root", databse="test", port=3306) with conn.cursor() as cursor: n = cursor.execute("select * from table_name") 入。 cursor.fetchone() # 查询一条数据 # 退出with 自动关闭 cursor,即使报错 except Exception as e: # 记录错误日志 logging.error(e) if conn: conn.rollback() # 事务中发生了错误,将执行的结果回滚。 finally: # 关闭链接和cursor if conn: conn.close()
Dictcursor
使用默认 cursor 时,查询的数据是会以元组的形式返回,元组中只有数据信息,而没有字段名;而使用Dictcursor返回的数据以字典的形式返回
import pymysql conn = pymysql.connect(host="127.0.0.1", user="root", password="root", databse="test", port=3306) with conn.cursor(pymysql.cursors.Dictcursor) as cursor: n = cursor.execute("select * from Person") 入。 print(cursor.fetchone()) ======= 使用Dictcursor 输出得结果 ==== {id:1, name:tom, age:18} ======= 使用默认cursor的结果 ===== (1, tom, age)
这样我们可以方便的在结果中获取字段名。
SQL注入
SQL注入攻击是猜测后台SQL语句使用的字符串拼接形式,从而经过专门的设计传参,拼接出一些特殊的,非本意的SQL语句在数据库执行,使攻击者获取想要的结果
例如查询数据库所有的数据
cmd = input(">>>") cursor.execute("select * from name=`{}`".format(cmd))
上面用户可以输入名字获取查询的结果,例如我们可以输入tom,这样就会返回名为tom的person信息。根据这拼接字符串的规律,我们可以拼接出其他用途的SQL语句。输入tom or "1" = "1"进行查询,我们将获得这个表中的全部人员信息,这并不是我们希望的,这样我们的数据就被轻易获取了。
参数化查询
参数化查询(Parameterized Query 或 Parameterized Statement)是访问数据库时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值。
cmd = input(">>>") cursor.execute("select * from name= %(name)s", {"name":cmd}) # 使用字典映射 # 或者 cursor.execute("select * from name= %s", (name,)) 使用位置对应
使用这种方式拼接SQL时,将不会发生上面的现象
cmd = "10001 or '1'='1'" n = cursor.execute("select * from employees where emp_no=%s", (cmd, )) print(cursor.fetchall) ====输出结果==== ((10001, datetime.date(1953, 9, 2), 'Georgi', 'Facello', 'M', datetime.date(1986, 6, 26)),) # 返回的数据,只获取了一条数据 Warning: (1292, "Truncated incorrect DOUBLE value: '10001 or '1'='1''") result = self._query(query) # 显示的警告信息,程序检测出了这个字符串的"问题"
参数化查询已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有指令,也不会被数据库运行。Access、SQL Server、MySQL、SQLite等常用数据库都支持参数化查询。
参数化查询按还能减少sql语句的编译,较少资源的销号,在上面的程序中,使用参数化查询时,上面的字符串select * from employees where emp_no=%s将会被编译一次然后被缓存,缓存在未失效的情况不会重复对字符串进行编译,而如果直接使用sql语句字符串,每次都会对其编译,耗费不少资源。因此使用参数化查询几乎不会降低查询效率。
mysqlclient
通过mysqlclient也可以实现Python与数据库的连接,他们使用相同接口函数,其余用法基本相同
pip install mysqlclient
import MySQLdb conn = None try: conn = MySQLdb.connect(host="127.0.0.1", user="root", password="root", databse="test", port=3306) with conn.cursor() as cursor: params = "10010" n = cursor.execute("select * from employees where id=%s", args=(params,)) res = cursor.fetchall() print(res) except Exception as e: print(e) # 写入日志 finally: if None: conn.close() # 关闭连接