pymysql

  • Z时代
  • 2024-01-10
  • 分类:综合

database

python代码连接mysql数据库

有bug(sql注入的问题):

#pip3 install pymysql
import pymysql
user=input("user>>: ").strip()
pwd=input("password>>: ").strip()
# 建立链接
conn=pymysql.connect(
    host="192.168.10.15",
    port=3306,
    user="root",
    password="123",
    db="db9",
    charset="utf8"
)
# 拿到游标
cursor=conn.cursor()
# 执行sql语句
sql="select * from userinfo where user = "%s" and pwd="%s"" %(user,pwd)
rows=cursor.execute(sql)
cursor.close()
conn.close()
# 进行判断
if rows:
print("登录成功")
else:
print("登录失败")

 

在sql语句中 --空格 就表示后面的被注释了,所以密码pwd就不验证了,只要账户名对了就行了,这样跳过了密码认证就是sql注入

 

 这样的连用户名都不用知道都可以进入,所以在注册账户名时好多特殊字符都不让使用,就怕这个.

 

 

 

 

改进版(防止sql注入)

 

#pip3 install pymysql
import pymysql
user=input("user>>: ").strip()
pwd=input("password>>: ").strip()
# 建立链接
conn=pymysql.connect(
    host="192.168.10.15",
    port=3306,
    user="root",
    password="123",
    db="db9",
    charset="utf8"
)
# 拿到游标
cursor=conn.cursor()
# 原来的执行sql语句
# sql="select * from userinfo where user = "%s" and pwd="%s"" %(user,pwd)
# print(sql)
# 现在的
sql="select * from userinfo where user = %s and pwd=%s"
rows=cursor.execute(sql,(user,pwd))
#原来是在sql中拼接,现在是让execute去做拼接user和pwd
cursor.close()
conn.close()
# 进行判断
if rows:
print("登录成功")
else:
print("登录失败")

 

以上是 pymysql 的全部内容, 来源链接: utcz.com/z/533328.html

回到顶部