进步始于交流
收货源于分享

python使用PyMySQL实现mysql增删改查及防注入

介绍

pymysql是python中访问mysql的库。由于要在阿里的函数计算中访问mysql,对于云数据库RDS阿里没有提供python内置模块,需要使用自定义模块。最后选用的pymysql

连接

try:
  db = pymysql.connect(host="XXAAcom", 
                       user="AA", 
                            password="XX", 
                            db="dbname",
                            charset='utf8mb4',
                            connect_timeout=1,
                            cursorclass=pymysql.cursors.DictCursor)
except pymysql.OperationalError as e:
  return "connect error:%s"%(e)

connect_timeout设置的是超时时间,单位秒,可以给小数,比如0.1则为100ms
连接超时会给出pymysql.OperationalError错误类型,注意此错误类型的具体内容会显示host地址。

增删改查

pymysql的一切操作基于游标cursor,首先通过db.cursor()获取一个,然后进行sql执行。

执行sql命令:cursor.execute(sql_text,param),其中sql_text为标准sql语句,可以使用%s等占位符标记各个变量,并在param中给出参数值。

对于增、删、改,在执行完execute后需要执行db.commit(),提交数据使修改操作生效。

对于查,执行完execute后在cursor中存储了结果,可以通过cursor.fetchall()获取所有结果,可以直接打印,打印效果为json格式。fetchone获取返回的第一个结果,fetchmany(n)获取n行结果。

除execute以外还有executemany可以执行多次相同sql不同参数的操作,范例如下(增删改只提供了增,另外两个只需要修改sql字符串即可):

try:
  db = pymysql.connect(…………)
except Exception as e:
  return "connect error:%s"%(e)
cursor = db.cursor()
insert_sql = "INSERT INTO test(id,text,time) VALUES (%s,%s,NOW())"
try:
  cursor.execute(insert_sql,(1003,"zltest"))
  db.commit()
except Exception as e:
  db.rollback()
  return "insert sql run error:%s"%(e,)
finally:
  cursor.close()
  
cursor2=db.cursor()  
select_sql="select * from test where test.id = %s"
try:
  cursor2.execute(select_sql,(1000,))
  row = cursor2.fetchone()
  return row
except Exception as e:
  db.rollback()
  return "select sql run error:%s"%(e,)
finally:
  cursor2.close()

db.close()
return "run ok"

字段id是int类型,在sql字符串中任何类型都可以用%s占位,但是在execute的参数中,一定要保证传入的类型与字段类型一致

防止SQL注入

对于上述的例子:
insert_sql = “INSERT INTO test(id,text,time) VALUES (%s,%s,NOW())”
可以通过python的语法动态构成sql命令:
insert_sql = “INSERT INTO test(id,text,time) VALUES (%s,%s,NOW())”%(id_value,text_value)
id_value和text_value为用户传入的内容
使用python可能会出现注入风险,当然可以自行检查传入的内容是否符合要求

建议直接使用pymysql的execute方法,在传入insert_sql字符串后第二个参数传入需要替换的参数,pymysql会自行对特殊符号进行转义处理,范例见上

 

 

赞(0) 打赏
未经允许不得转载:Techie亮博客 » python使用PyMySQL实现mysql增删改查及防注入
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏