python代码连接mysql数据库
有bug(sql注入的问题):
#pip3 install pymysql
import pymysql
user=input('user>>: ').strip()
pwd=input('password>>: ').strip()
# 建立链接
conn=pymysql.connect(
host='192.168.10.15',
port=3306,
user='root',
password='123',
db='db9',
charset='utf8'
)
# 拿到游标
cursor=conn.cursor()
# 执行sql语句
sql='select * from userinfo where user = "%s" and pwd="%s"' %(user,pwd)
rows=cursor.execute(sql)
cursor.close()
conn.close()
# 进行判断
if rows:
print('登录成功')
else:
print('登录失败')
在sql语句中 --空格 就表示后面的被注释了,所以密码pwd就不验证了,只要账户名对了就行了,这样跳过了密码认证就是sql注入
这样的连用户名都不用知道都可以进入,所以在注册账户名时好多特殊字符都不让使用,就怕这个.
改进版(防止sql注入)
#pip3 install pymysql
import pymysql
user=input('user>>: ').strip()
pwd=input('password>>: ').strip()
# 建立链接
conn=pymysql.connect(
host='192.168.10.15',
port=3306,
user='root',
password='123',
db='db9',
charset='utf8'
)
# 拿到游标
cursor=conn.cursor()
# 原来的执行sql语句
# sql='select * from userinfo where user = "%s" and pwd="%s"' %(user,pwd)
# print(sql)
# 现在的
sql='select * from userinfo where user = %s and pwd=%s'
rows=cursor.execute(sql,(user,pwd))
#原来是在sql中拼接,现在是让execute去做拼接user和pwd
cursor.close()
conn.close()
# 进行判断
if rows:
print('登录成功')
else:
print('登录失败')
来源:oschina
链接:https://my.oschina.net/u/4412486/blog/4255128