欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

数据库-用户管理与pymysql

程序员文章站 2023-11-04 11:56:46
mysql用户管理 !这是dba的活儿!,但是万一公司没有dba? mysql用户指的是什么? 我们每一次在操作前都需要指定账号和密码,这个账号就是mysql的用户; 为什么要管理? 一个公司不可能只有一个工程师,大公司,不不仅有很多工程师 还有很多不同部门,但是数据库服务器只有一个,大家都要访问, ......

mysql用户管理

!这是dba的活儿!,但是万一公司没有dba?

mysql用户指的是什么?

我们每一次在操作前都需要指定账号和密码,这个账号就是mysql的用户;

为什么要管理?

一个公司不可能只有一个工程师,大公司,不不仅有很多工程师 还有很多不同部门,但是数据库服务器只有一个,大家都要访问,这就涉及到用户和权限问题了

一个工程师对应一个账户,

哪些工程师可以操作哪些数据库,哪些表,甚至哪些字段,都可以进行控制,例如,腾讯,有qq和微信不同项目,qq的工程师,就不应该去访问微信项目的数据;

mysql是如何管理的

mysql本质上是一款cs软件,它具备用户认证!

我们有没有做过用户认证呢? atm! 购物车,都做过,

我们是如何实现的?写入文件,mysql也是一样的,

只不过它把文件称为表

那么要怎么添加账户呢?

把用户信息写入表中就可以了

权限相关表

来看看它都把数据放在哪个表中了!

自带的mysql数据库,四个表用于存储账户信息以及权限
user
db
table_priv
columns_priv

权限优先级

user->db->table_priv->columns_priv

select *from user;
#由于字段较多 以表格形式展示 会比较乱,可以添加\g来纵向显示
select *from user\g;

内置root账户字段信息解析

创建账号语句

create user 用户名@"ip地址"  "identified" by 密码;
create user tom@"192.168.101" identified by "123";

该语句表面tom只能在101机器上使用,别的机器就无法登录

用%可以表示在任意机器可用

注意:该方式创建的账号没有任何权限 所以了解即可

授权语句

授权:

授权语句执行时如果账号不存在会自动创建账号 所以更推荐使用

注意:默认只有root才能为其他账号授权

grant all on *.* to tom@"localhost" identified by "123";
#该语句中的all 增删改查所有权限 但是不包括grant权限
#*.* 表示任何数据库 任何表 存储在user表

grant all on *.* to toms@"%" identified by "123";
# host 为% 表示 该账户可以在任何主机上登录但是不包括localhost
grant all on *.* to toms@"localhost" identified by "123";
# 继续执行 上述语句保证localhost也可以登录该账户




grant all on db.* to tom@"localhost" identified by "123" 
#db.* 该用户可以操作db数据库的任何表 存储在 db表


grant all on db.t1 to tom@"localhost" identified by "123" 
#db.* 该用户可以操作db数据库的t1表 存储在 table_privi表


grant select(id) on db.t1 to tom@"localhost" identified by "123" 
#精确到字段 和  操作级别
#该用户只能查询 db下的t1表 



grant all on *.* to tom@"localhost" identified by "123" with grant option;
#with grant option 表示该账户可以将权限授予其他用户



revoke all privileges [column]   on db.table from user@"host";
#收回权限


drop user@"host"
#删除用户

flush privileges;
#刷新权限表 一些时候权限信息可能会有所延迟 可以执行该语句立即刷新权限信息

pymysql模块

pymysql是python提供的一个mysql客户端模块,用于与mysql服务器建立连接,发送查询,并获取结果等;

基本使用:

import pymysql
# 1.建立连接
try:
    conn = pymysql.connect(host="127.0.0.1",port=3306,user="root",password="",db="day46",)
    print("连接服务器成功!")
    #2.获取游标对象
    cursor = conn.cursor()
    #3.执行sql语句
    count = cursor.execute("select *from user")
    print("结果数量: %s" % count)

    # 提取结果
    # print(cursor.fetchall())
    # print(cursor.fetchone())
    # print(cursor.fetchmany(1))

    # 移动游标位置  相对当前位置
    cursor.scroll(1,"relative")
    cursor.scroll(-1, "relative")
    print(cursor.fetchone())

    # 移动游标位置  使用绝对位置
    cursor.scroll(0, "absolute")
    print(cursor.fetchone())

    print(cursor.fetchall())
    # 注意 游标移动到末尾后无法在读取到数据 若需重复读取数据,需要使用scroll来移动游标

except exception as e:
    print("连接服务器失败.....")
    print(type(e),e)
finally:
    if cursor:
        cursor.close()
        print("关闭游标")
    if conn:
        conn.close()
        print("关闭链接")

上述代码中 fetch 相关函数返回值类型为元组,使用起来不够方便,我们可以在创建游标时指定游标类型为字典类型像这样:

cursor = conn.cursor(pymysql.cursors.dictcursor)

sql注入攻击

何为sql注入

sql注入指的是,用户在输入数据时,按照sql的语法,来编写带有攻击目的的sql语句,并插入到原始语句中执行.

例如:登录功能,需要用户输入用户名和密码

正常的一个登录功能代码如下:

try:
    conn = pymysql.connect(host="127.0.0.1",port=3306,user="root",password="",db="day46",)
    print("连接服务器成功!")
    cursor = conn.cursor(pymysql.cursors.dictcursor)
    
    user = input("username:")
    password = input("password:")
    
    count = cursor.execute("select *from user where name = '%s' and password = '%s'" % (user,password))
    if count:
        print("登录成功!")
    else:
        print("登录失败!")
except exception as e:
    print(type(e),e)
finally:
    if cursor:cursor.close()
    if conn: conn.close()

上述代码有被注入攻击的危险

尝试在用户名中输入以下内容,密码随意
 jerry' — ass 
或者连用户名都不用写
' or 1 = 1 -- asaa

解决方案:

​ 1.客户端在发送sql给服务器前进行re判断

​ 这样的问题在于一些程序可以模拟客户端直接发送请求给服务器

​ 2.在服务器端将sql交给mysql是作进一步处理,相关的代码其实pymysql已经做了封装

​ 我们只要保证不要自己来拼接sql语句即可,将拼接参数操作交给pymysql.

try:
    conn = pymysql.connect(host="127.0.0.1",port=3306,user="root",password="",db="day46",)
    print("连接服务器成功!")
    cursor = conn.cursor(pymysql.cursors.dictcursor)
    
    user = input("username:")
    password = input("password:")

    sql = "select *from user where name = %s and password = %s"
    print(sql)
    count = cursor.execute(sql,(user,password)) # 参数交给模块
    if count:
        print("登录成功!")
    else:
        print("登录失败!")
except exception as e:
    print(type(e),e)
finally:
    if cursor:cursor.close()
    if conn: conn.close()

增删改

import pymysql


# 1.建立连接
try:
    conn = pymysql.connect(host="127.0.0.1",port=3306,user="root",password="",db="day46",)
    print("连接服务器成功!")
    cursor = conn.cursor(pymysql.cursors.dictcursor)
    
    #增
    #sql = "insert into user values(null,%s,%s,%s)"
    #count = cursor.execute(sql,("tom","man","123321"))
    # 一次性插入多条记录
    #sql = "insert into user values (null,%s,%s,%s)"
    #count = cursor.executemany(sql, [("周芷若","woman","123"), ("赵敏","woman","321")])
    
    #删
    # count = cursor.execute("delete from user where id = 1")

    
    #改
    count = cursor.execute("update user set name = '刘大炮' where id = 1")

    if count:
        print("执行成功!")
    else:
        print("执行失败!")

    # 获取最新的id
    # print(cursor.lastrowid)
except exception as e:
    print(type(e),e)

finally:
    if cursor:cursor.close()
    if conn: conn.close()

强调:pymysql 对于数据的增删改默认都不会生效,必须调用链接对象的commit()来提交修改 或者在创建链接对象时指定为自动提交;

conn.commit() 
#或者创建链接对象时指定为自动提交
conn = pymysql.connect(host="127.0.0.1",port=3306,user="root",password="",db="day46",autocommit=true)