Python连接MySQL数据库：pymysql模块实战解析

本文将详细解析Python中的pymysql模块，包括如何下载和使用，以及在实际应用中如何处理SQL注入问题。 pymysql是Python中用于操作MySQL数据库的一个库，它提供了类似Python DB-API的接口，使得开发者可以方便地进行数据库的增删查改操作。在Python中使用pymysql，首先需要通过`pip3 install pymysql`命令来安装这个模块。 一、pymysql的下载和使用 1. 安装pymysql 通过运行`pip3 install pymysql`，可以在Python环境中安装pymysql模块，确保在执行此命令前已经安装了pip。 2. 使用pymysql连接数据库 以下是一个基本的连接MySQL数据库的例子： ```python import pymysql user = input('请输入用户名：') pwd = input('请输入密码：') # 连接配置 conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', password='', db='db8', charset='utf8') ``` 这里，我们使用`pymysql.connect()`函数连接到本地的MySQL服务，指定数据库服务器的地址（host）、端口（port）、用户名（user）、密码（password）、要连接的数据库（db）以及字符编码（charset）。 二、pymysql操作数据库 1. 创建游标 建立连接后，我们需要创建一个游标对象来执行SQL语句： ```python cursor = conn.cursor() ``` 游标对象允许我们执行SQL命令并获取结果。 2. 执行SQL语句 例如，下面是一个简单的查询示例，用于验证用户登录： ```python sql = "SELECT * FROM user_info WHERE username='%s' AND pwd='%s'" % (user, pwd) cursor.execute(sql) result = cursor.execute(sql) # 返回查询到的记录数 ``` 这里，我们使用`cursor.execute()`方法执行SQL查询，并通过`cursor.execute()`获取执行结果。 3. 关闭连接 执行完操作后，记得关闭游标和连接： ```python cursor.close() conn.close() ``` 三、SQL注入及其防范 在上述代码中，我们使用字符串拼接构建SQL语句，这可能导致SQL注入攻击。攻击者可以通过输入特定的字符串，如`mjj’--`或`xxx’or1=1--`，来绕过验证。 解决SQL注入的方法是避免直接使用字符串格式化构造SQL，而是利用参数化查询。pymysql的`execute()`方法支持参数化查询，如下所示： ```python sql = "SELECT * FROM user_info WHERE username=%s AND password=%s" cursor.execute(sql, (user, pwd)) ``` 在这里，`%s`是占位符，`execute()`方法会自动处理参数的插入，这样可以防止SQL注入。 总结，pymysql是Python中连接MySQL的重要工具，它提供了安全且高效的接口。通过理解其基本用法和防范SQL注入的方法，我们可以编写出更加健壮的数据库应用。