python操作数据库

数据入库+爬虫
一、python操作数据库
二、数据注入问题
- 正常演示
- 注入演示
三、解决方法
四、python对数据库的增删改查
- 增
- 改
- 删

数据入库+爬虫

import requests
from bs4 import BeautifulSoup
import pymysql

conn = pymysql.connect(
    host=\'127.0.0.1\',
    port=3306,
    user=\'root\',
    password=\'123\',
    database=\'pachong\',
    charset=\'utf8\',
    autocommit=True
)
cursor = conn.cursor(pymysql.cursors.DictCursor)

ret = requests.get(\'https://www.autohome.com.cn/news/2/#liststart\')
print(ret.status_code)

soup = BeautifulSoup(ret.text, \'html.parser\')
li_list = soup.find_all(name=\'li\')
for li in li_list:
    h3 = li.find(name=\'h3\')
    if not h3:
        continue
    title = h3.text
    desc = str(li.find(name=\'p\').text)
    img = \'https:\' + li.find(name=\'img\')[\'src\']
    url = \'https:\' + li.find(name=\'a\')[\'href\']

    print(f\'\'\'
    新闻标题：{title}
    新闻摘要：{desc}
    新闻链接：{url}
    新闻图片：{img}
    \'\'\')
    sql = \'insert into cat_family(title,content,url,img) values(%s,%s,%s,%s)\'
    cursor.execute(sql, (title, desc, url, img))
cursor.close()
conn.close()

一、python操作数据库

import pymysql

conn = pymysql.connect(
    host = \'127.0.0.1\',
    port = 3306,
    user = \'root\',
    password = \'123\',
    database = \'jeff\',
    charset = \'utf8\',
    autocommit = True  # 自动提交
)

cursor = conn.cursor(pymysql.cursors.DictCursor)  # 产生游标对象，将查询出来的结果制作成字典的形式返回
sql = \'select * from teacher\'
cursor.execute(sql)  # 执行传入的sql语句
# print(cursor.fetchone())  # 只获取一条数据
# print(cursor.fetchone())  # 只获取一条数据
# print(cursor.fetchone())  # 只获取一条数据
# print(cursor.fetchone())  # 只获取一条数据
# cursor.scroll(2,\'absolute\')  # 绝对定位，控制光标移动   absolute相对于其实位置 往后移动几位
# cursor.scroll(1,\'relative\')  # 相对定位，relative相对于当前位置 往后移动几位
print(cursor.fetchall())  # 获取所有的数据  返回的结果是一个列表
cursor.close()
conn.close()

二、数据注入问题

正常演示

import pymysql
conn = pymysql.connect(
    user = \'root\',
    passwd = \'123\',
    db = \'jeff\',
    host = \'127.0.0.1\',
    port = 3306,
    charset = \'utf8\'
)
cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)
# 获取用户输入的用户名和密码 然后取数据库中校验
username = input(\'username>>>:\').strip()
password = input(\'password>>>:\').strip()
sql = "select * from userinfo where username=\'%s\' and password= \'%s\'"%(username,password)
print(sql)
cursor.execute(sql)
res = cursor.fetchall()
if res:
    print(res)
else:
    print(\'用户名或密码错误！\')

正常操作：

复原sql：正常

注入演示

利用mysql中的\'--\'注释符号，注入

不输入密码也能获取数据：

复原sql：密码验证同样被注释了

同样，不输入用户名和密码注入：

复原sql语句：后面的内容被注释了

三、解决方法

利用特殊符号和注释语法巧妙的绕过真正的sql校验

关键性的数据不要自己手动去拼接而是交由execute帮你去做拼接

execute：可以自动过滤"--"类似这种的特殊符号，还能自动识别“%s”，帮你自动拼接

cursor.execute(sql, (username, password))

import pymysql
conn = pymysql.connect(
    host = \'127.0.0.1\',
    port = 3306,
    user = \'root\',
    password = \'123\',
    database = \'jeff\',
    charset = \'utf8\',
    autocommit = True     # 这个参数配置完成后  增删改操作都不需要在手动加conn.commit了
)

cursor = conn.cursor(pymysql.cursors.DictCursor)


username = input(\'输入用户名>>>:\')
password = input(\'输入密码>>>:\')

sql = \'select * from user where name = %s and password = %s\'
res = cursor.execute(sql, (username, password))  # 能够帮你自动过滤特殊符号 避免sql注入的问题
if res :
    print(cursor.fetchall())
else:
    print(\'用户名或密码错误\')

过滤成功，sql注入失败：

四、python对数据库的增删改查

# 手动提交
conn.commit() # 确认当前操作  真正的同步到数据库

import pymysql


conn = pymysql.connect(
    user = \'root\',
    passwd = \'123\',
    db = \'jeff\',
    host = \'127.0.0.1\',
    port = 3306,
    charset = \'utf8\',
    autocommit = True  # 自动提交确认
)
cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)  # 生成游标对象

增

# 增
sql = "insert into userinfo(username,password)values(\'tank\',789)"
res = cursor.execute(sql)  # 被影响的行数
print(res)

改

# 改
sql = "update userinfo set name=\'jeff_gyy\' where id = 1"
res = cursor.execute(sql)  # 被影响的行数
print(res)

删

# 删
sql = "delete from userinfo where id= 1"
res = cursor.execute(sql)  # 被影响的行数
print(res)