Python3.x操作MySQL：pymysql模块详解与SQL注入防范

"这篇文档详细介绍了在Python中如何使用pymysql模块来操作MySQL数据库，特别强调了pymysql对Python3.x版本的支持，并且提到了SQL注入问题及其防范措施。" 在Python中，pymysql是用于连接和操作MySQL数据库的重要模块。它与MySQLdb模块类似，但在Python 3.x环境下更为适用，因为MySQLdb不再支持这个版本。以下是pymysql模块的使用步骤和注意事项： 1. 安装pymysql 安装pymysql可以通过Python的包管理器pip3完成，命令为`pip3 install pymysql`。 2. 建立连接 使用`pymysql.connect()`函数建立到MySQL服务器的连接。需要提供主机名（如'127.0.0.1'）、端口号（默认3306）、用户名、密码、数据库名以及字符编码（如'utf8'）。 ```python conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', password='', db='db8', charset='utf8') ``` 3. 创建游标 游标允许执行SQL语句并获取结果。通过调用连接对象的`cursor()`方法创建。 ```python cursor = conn.cursor() ``` 4. 执行SQL语句 使用游标的`execute()`方法执行SQL查询。可以使用字符串格式化方法来动态构建SQL，但需要注意SQL注入的问题。 ```python sql = "select * from user_info where username='%s' and pwd='%s'" % (user, pwd) cursor.execute(sql) result = cursor.execute(sql) # 返回查询到的记录数 ``` 5. 处理结果 `execute()`方法执行后，`cursor.fetchall()`或`fetchone()`可以获取查询结果。在完成操作后，记得关闭游标和连接。 ```python cursor.close() conn.close() ``` 6. SQL注入问题及防范 SQL注入是一种常见的安全漏洞，攻击者可以利用不当的字符串拼接构造恶意SQL。例如，通过输入`'--`来注释掉后面的条件。为了防止这种情况，应使用参数化查询，避免直接字符串拼接。 ```python # 避免SQL注入 sql = "select * from user_info where name=%s and password=%s" cursor.execute(sql, (username, pwd)) ``` 通过以上步骤，我们可以安全地使用pymysql模块与MySQL数据库进行交互，同时要注意防范SQL注入等安全风险。确保在编写代码时，始终考虑数据安全和最佳实践。