先连接数据库,再创建游标执行SQL。应根据数据库类型选择Python库,如MySQL用mysql-connector-python或pymysql,PostgreSQL用psycopg2,SQLite用sqlite3。操作流程包括连接、创建游标、执行SQL、处理结果和关闭连接。为避免编码问题,需统一使用UTF-8编码,并在连接时指定encoding='utf-8',同时在脚本头部声明# coding: utf-8。防止SQL注入必须使用参数化查询,例如用cursor.execute("SELECT * FROM users WHERE username = ?", (username,))代替字符串拼接,确保用户输入被当作数据而非SQL代码处理。
执行SQL语句在Python中主要通过数据库游标对象来实现,游标就像一个指针,让你可以在数据库查询结果中移动和操作数据。
连接数据库后,你会得到一个连接对象。从这个连接对象中,你可以创建一个游标对象,然后使用这个游标对象来执行SQL语句。简单来说,就是先连接,再创建游标,最后执行SQL。
数据库游标对象SQL执行方法
如何选择合适的Python数据库连接库?
选择哪个Python数据库连接库,取决于你使用的数据库类型。例如,如果你用的是MySQL,那就用
mysql-connector-python或
pymysql。PostgreSQL可以用
psycopg2。SQLite则内置在Python中,直接用
sqlite3模块就行。
立即学习“Python免费学习笔记(深入)”;
关键是,每个库的API略有不同,但核心流程都是连接、创建游标、执行SQL、处理结果、关闭连接。
import sqlite3
# 连接到SQLite数据库(如果文件不存在,则创建)
conn = sqlite3.connect('mydatabase.db')
# 创建一个游标对象
cursor = conn.cursor()
# 执行SQL语句
cursor.execute("SELECT * FROM mytable")
# 获取查询结果
results = cursor.fetchall()
# 打印结果
for row in results:
print(row)
# 关闭游标和连接
cursor.close()
conn.close()执行SQL语句时遇到编码问题怎么办?
编码问题是数据库操作中常见的坑。确保你的数据库、连接库和Python脚本都使用相同的编码,通常是UTF-8。
如果从数据库取出的数据包含非ASCII字符,而你的终端或脚本又不支持UTF-8,就会出现乱码。解决办法包括:
- 在连接数据库时指定编码:例如,
conn = sqlite3.connect('mydatabase.db', encoding='utf-8') - 在脚本头部声明编码:
# coding: utf-8
- 确保你的终端支持UTF-8编码。
如何防止SQL注入攻击?
SQL注入是Web安全的大敌。攻击者可以通过在输入框中输入恶意的SQL代码,来篡改或窃取你的数据。
防止SQL注入的关键是使用参数化查询。不要直接将用户输入拼接到SQL语句中。
# 错误的示范(存在SQL注入风险)
username = input("请输入用户名:")
sql = "SELECT * FROM users WHERE username = '%s'" % username
cursor.execute(sql)
# 正确的示范(使用参数化查询)
username = input("请输入用户名:")
sql = "SELECT * FROM users WHERE username = ?"
cursor.execute(sql, (username,))参数化查询会将用户输入视为普通字符串,而不是SQL代码,从而避免SQL注入。几乎所有的数据库连接库都支持参数化查询,务必使用它。
