pymysql
短信预约 信息系统项目管理师 报名、考试、查分时间动态提醒
python代码连接mysql数据库
有bug(sql注入的问题):
#pip3 install pymysql
import pymysql
user=input("user>>: ").strip()
pwd=input("password>>: ").strip()
# 建立链接
conn=pymysql.connect(
host="192.168.10.15",
port=3306,
user="root",
password="123",
db="db9",
charset="utf8"
)
# 拿到游标
cursor=conn.cursor()
# 执行sql语句
sql="select * from userinfo where user = "%s" and pwd="%s"" %(user,pwd)
rows=cursor.execute(sql)
cursor.close()
conn.close()
# 进行判断
if rows:
print("登录成功")
else:
print("登录失败")
在sql语句中 --空格 就表示后面的被注释了,所以密码pwd就不验证了,只要账户名对了就行了,这样跳过了密码认证就是sql注入
这样的连用户名都不用知道都可以进入,所以在注册账户名时好多特殊字符都不让使用,就怕这个.
改进版(防止sql注入)
#pip3 install pymysql
import pymysql
user=input("user>>: ").strip()
pwd=input("password>>: ").strip()
# 建立链接
conn=pymysql.connect(
host="192.168.10.15",
port=3306,
user="root",
password="123",
db="db9",
charset="utf8"
)
# 拿到游标
cursor=conn.cursor()
# 原来的执行sql语句
# sql="select * from userinfo where user = "%s" and pwd="%s"" %(user,pwd)
# print(sql)
# 现在的
sql="select * from userinfo where user = %s and pwd=%s"
rows=cursor.execute(sql,(user,pwd))
#原来是在sql中拼接,现在是让execute去做拼接user和pwd
cursor.close()
conn.close()
# 进行判断
if rows:
print("登录成功")
else:
print("登录失败")
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
![[mysql]mysql8修改root密码](https://static.528045.com/imgs/15.jpg?imageMogr2/format/webp/blur/1x0/quality/35)
