您好,登錄后才能下訂單哦!
1. 常用模塊
# 連接數(shù)據(jù)庫
connect()函數(shù)創(chuàng)建一個(gè)新的數(shù)據(jù)庫連接對話并返回一個(gè)新的連接實(shí)例對象
PG_CONF_123 = { 'user':'emma', 'port':123, 'host':'192.168.1.123', 'password':'emma', 'database':'dbname'} conn = psycopg2.connect(**PG_CONF_123)
# 打開一個(gè)操作整個(gè)數(shù)據(jù)庫的光標(biāo)
連接對象可以創(chuàng)建光標(biāo)用來執(zhí)行SQL語句
cur = conn.cursor()
# 執(zhí)行一個(gè)創(chuàng)建表的SQL語句
光標(biāo)可以使用execute()和executemany()函數(shù)
cur.execute("CREATE TABLE test (id serial PRIMARY KEY, num integer, data varchar);")
# 傳遞參數(shù)給插入語句
cur.execute("INSERT INTO test (num, data) VALUES (%s, %s)",(100, "abc'def"))
# 執(zhí)行查詢語句并將獲取到的數(shù)據(jù)作為python對象
cur.execute("SELECT * FROM test;") cur.fetchone() (1, 100, "abc'def")
# 提交修改
如果只使用查詢語句不用commit方法,insert/update/delete等操作需要調(diào)用commit()。rollback()函數(shù)用于會滾到上次調(diào)用commit()方法之后。
conn.commit()
# 關(guān)閉數(shù)據(jù)庫連接
cur.close() conn.close()
2. 防范SQL注入漏洞
典型的SQL注入漏洞形式:
SQL = "select * from userinfo where id = '%s'" % (id) SQL = "select * from userinfo where id = '{}'".format(id)
如果有人惡意攻擊,在傳入?yún)?shù)的代碼中加入惡意代碼,如:
request.id = '123; drop tabel userid;'
會造成嚴(yán)重風(fēng)險(xiǎn),為防止此問題,應(yīng)該通過第二位變量傳入?yún)?shù)的方法:%s(無論變量是什么數(shù)據(jù)類型,都使用%s)
SQL = "INSERT INTO authors (name) VALUES (%s);" # Note: no quotes data = ("O'Reilly", ) cur.execute(SQL, data) # Note: no % operator
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持億速云。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。