mysql数据库：用户管理、pymysql使用、sql注入

import pymysql

conn = pymysql.connect(
    host="127.0.0.1",
    port=3306,
    user="root",
    password="root",
    database="day47",
    charset="utf8"
)
# cursor 游标对象 负责执行sql语句 获取返回的数据
# pymysql.cursors.DictCursor指定使用字典类型的游标 默认是元祖类型
cursor = conn.cursor(pymysql.cursors.DictCursor)

sql = "select *from user"

# 返回值是本次查询的记录条数
res = cursor.execute(sql)  #执行sql
print(cursor.fetchall())   # 提取所有结果
# cursor.scroll(1,mode="absolute") # 游标从开始位置往后移动1条记录
# cursor.scroll(1,mode="relative") # 游标从当前位置往后移动1条记录
# print(cursor.fetchone())  # 提取一条记录
# print(cursor.fetchone())
# print(cursor.fetchone())
# print(cursor.fetchmany(2)) # 提取指定数量记录

# print(res)

import pymysql

conn = pymysql.connect(
    host="127.0.0.1",
    port=3306,
    user="root",
    password="root",
    database="day47",
    charset="utf8"
)
# cursor 游标对象 负责执行sql语句 获取返回的数据
# pymysql.cursors.DictCursor指定使用字典类型的游标 默认是元祖类型
cursor = conn.cursor(pymysql.cursors.DictCursor)

# sql = "insert into user values(null,'中狗子','123')"
sql = "update user set name = '小黄' where name = '中狗子'"
# sql = "delete from user where name = '大狗子'"

res = cursor.execute(sql)
# pymysql不会自动提交  对数据的修改不会持久化 需要手动commit
conn.commit()
print(res)

import pymysql

conn = pymysql.connect(
    host="127.0.0.1",
    port=3306,
    user="root",
    password="root",
    database="day47",
    charset="utf8"
)
# cursor 游标对象 负责执行sql语句 获取返回的数据
# pymysql.cursors.DictCursor指定使用字典类型的游标 默认是元祖类型
cursor = conn.cursor(pymysql.cursors.DictCursor)

name = input("输入用户名:")

pwd = input("输入密码:")


sql = "select *from user where name = %s and password = %s"
res = cursor.execute(sql,(name,pwd))
if res:
    print("登录成功")
else:
    print("登录失败")


# 什么是sql注入攻击 
# 一些了解sql语法的攻击者  可以通过一些特殊符号 来修改 sql执行逻辑 达到绕过验证的效果

# 如何避免？
# 1.在输入时加上正则判断 不允许输入与sql相关的关键字 这种方式 无法避免 代理服务器发起的攻击
# 2.在服务器端 执行sql前先来一波判断

# pymysql中已经帮你做了处理  只要将参数的拼接交给pymysql来完成就能够避免攻击