pip3 install pymysql

import pymysql

conn=pymysql.connect(

    host='127.0.0.1',

    port=3306,

    user='root',

    password='',

    database='day03',

    charset='utf8'

) #前提先启动mysql服务器

#输出数据的时候,根据游标往后取值

cursor=conn.cursor() #创建游标 mysql>

mysql_cmd="select * from employee;" #命令语句str

cursor.execute(mysql_cmd)  #执行命令行语句

print(cursor.fetchone()) #获取一条数据

print("------------xxxx-------------")

cursor.scroll(3,'relative') #相对路径游标往下跳过条数据

print(cursor.fetchall()) #获取所有数据

cursor.scroll(3,'absolute') #绝对路径游标往下跳过条数据

print(cursor.fetchone())  #获取一条数据

import pymysql

#与数据库建立连接:host,post,user,password,database,charset;

conn=pymysql.connect(

    host='127.0.0.1',

    port=3306,

    user='root',

    password='',

    database='day04',

    charset='utf8'

)

#输入需要匹配的元素

username=input("请输入用户名") #如:alex'

password=input("请输入密码")   #如:123'

#建立游标 mysql>

cursor=conn.cursor() #默认输出元组(( ,),( ,)...)

verify="select * from userinfo where uname = '%s and pword = %s;"%(username,password) #数据类型  都是字符串char(20)

print(verify)

ret=cursor.execute(verify)

print("影响的数据条数",ret)

if ret:

    print("登录成功!")

else:

    print("登录失败!!!")
cursor.close() #关闭游标
conn.close() #关闭连接

总结咱们刚才说的两种sql注入的语句

#1、sql注入之：用户存在，绕过密码

chao' -- 任意字符

#2、sql注入之：用户不存在，绕过用户与密码

xxx' or 1=1 -- 任意字符

仅需优化两条语句:

verify="select * from userinfo where uname = %s and pword = %s;" #数据类型  都为字符串char(20)

ret=cursor.execute(verify,[username,password])

import pymysql

#与数据库建立连接:host,post,user,password,database,charset;

conn=pymysql.connect(

    host='127.0.0.1',

    port=3306,

    user='root',

    password='',

    database='day04',

    charset='utf8'

)

#输入需要匹配的元素

username=input("请输入用户名:") #如:alex'

password=input("请输入密码:")   #如:123

#建立游标 mysql>

cursor=conn.cursor() #默认输出元组(( ,),( ,)...)

verify="select * from userinfo where uname = %s and pword = %s;" #数据类型  都为字符串char(20)

print(verify)

ret=cursor.execute(verify,[username,password])

print("影响的数据条数",ret)

if ret:

    print("登录成功!")

else:

    print("登录失败!!!")

mysql注入优化

import pymysql

#链接

conn=pymysql.connect(host='localhost',port='',user='root',password='',database='crm',charset='utf8')

#游标

cursor=conn.cursor()

#执行sql语句

#part1

# sql='insert into userinfo(name,password) values("root","123456");'

# res=cursor.execute(sql) #执行sql语句，返回sql影响成功的行数

# print(res)

# print(cursor.lastrowid) #返回的是你插入的这条记录是到了第几条了

#part2

# sql='insert into userinfo(name,password) values(%s,%s);'

# res=cursor.execute(sql,("root","123456")) #执行sql语句，返回sql影响成功的行数

# print(res)

#还可以进行更改操作：

#res=cursor.excute("update userinfo set username='taibaisb' where id=2")

#print(res) #结果为1

#part3

sql='insert into userinfo(name,password) values(%s,%s);'

res=cursor.executemany(sql,[("root",""),("lhf",""),("eee","")]) #执行sql语句，返回sql影响成功的行数，一次插多条记录

print(res)

#上面的几步，虽然都有返回结果，也就是那个受影响的函数res，但是你去数据库里面一看，并没有保存到数据库里面，

conn.commit() #必须执行conn.commit,注意是conn，不是cursor，执行这句提交后才发现表中插入记录成功，没有这句，上面的这几步操作其实都没有成功保存。

cursor.close()

conn.close()

import pymysql

#链接

conn=pymysql.connect(host='localhost',user='root',password='',database='egon')

#游标

cursor=conn.cursor()

#执行sql语句

sql='select * from userinfo;'

rows=cursor.execute(sql) #执行sql语句，返回sql影响成功的行数rows,将结果放入一个集合，等待被查询

# cursor.scroll(3,mode='absolute') # 相对绝对位置移动

# cursor.scroll(3,mode='relative') # 相对当前位置移动

res1=cursor.fetchone()

res2=cursor.fetchone()

res3=cursor.fetchone()

res4=cursor.fetchmany(2)

res5=cursor.fetchall()

print(res1)

print(res2)

print(res3)

print(res4)

print(res5)

print('%s rows in set (0.00 sec)' %rows)

conn.commit() #提交后才发现表中插入记录成功

cursor.close()

conn.close()

'''

(1, 'root', '123456')

(2, 'root', '123456')

(3, 'root', '123456')

((4, 'root', '123456'), (5, 'root', '123456'))

((6, 'root', '123456'), (7, 'lhf', '12356'), (8, 'eee', '156'))

rows in set (0.00 sec)
'''