分享好友 系统运维首页 频道列表

mysql数据库: 用户管理、pymysql使用、sql注入

服务器其它  2023-02-07 19:540

本文目录:

一、用户管理

二、pymysql增删改查

三、sql注入攻击

 

数据安全非常重要 不可能随便分配root账户
应该按照不同开发岗位分配不同的账户和权限

mysql中 将于用户相关的数据放在mysql库
user - > db - > tables_priv -> columns_priv
如果用户拥有对所有库的访问权 则存储在 user中
如果用户拥有对部分库的使用权 db
如果用户拥有对部分表的使用权 tables;
如果用户拥有对表中某些字段的使用权 columns_priv中

创建新账户
create user "账户名"@"主机名" identified by 密码
create user "tom"@"localhost" identified by "123";

授予所有数据库所有表的所有权限给jerry这个用户 并允许jerry在任意一台电脑登录
如果用户不存在会自动创建
grant all on *.* to "jerry"@"%" identified by "123" with grant option;
with grant option这个用户可以将拥有的权限授予别人

授予day45数据库所有表的所有权限给jack这个用户 并允许jerry在任意一台电脑登录
grant all on day45.* to "jack"@"%" identified by "123";
授予day45数据库的emp表的所有权限给rose这个用户 并允许jerry在任意一台电脑登录
grant all on day45.emp to "rose"@"%" identified by "123";
授予day45数据库的emp表的name字段的查询权限给maria这个用户 并允许jerry在任意一台电脑登录
grant select(name) on day45.emp to "maria"@"%" identified by "123";

收回权限
REVOKE all privileges [column] on db.table from user@"host";

如何授权就如何收回 因为不同权限信息存到不同的表中
REVOKE all privileges on day45.emp from maria@"%";

立即刷新权限信息
flush privileges;

# 删除用户
drop user 用户名@主机
drop user maria@%

当你在云服务器部署了 mysql环境时 你的程序无法直接连接到服务器 需要授予在任意一台电脑登录的权限
grant all on *.* to "jerry"@"%" identified by "123" with grant option;

 

二、pymysql增删改查

import pymysql

conn = pymysql.connect(
    host="127.0.0.1",
    port=3306,
    user="root",
    password="root",
    database="day47",
    charset="utf8"
)
# cursor 游标对象 负责执行sql语句 获取返回的数据
# pymysql.cursors.DictCursor指定使用字典类型的游标 默认是元祖类型
cursor = conn.cursor(pymysql.cursors.DictCursor)

sql = "select *from user"

# 返回值是本次查询的记录条数
res = cursor.execute(sql)  #执行sql
print(cursor.fetchall())   # 提取所有结果
# cursor.scroll(1,mode="absolute") # 游标从开始位置往后移动1条记录
# cursor.scroll(1,mode="relative") # 游标从当前位置往后移动1条记录
# print(cursor.fetchone())  # 提取一条记录
# print(cursor.fetchone())
# print(cursor.fetchone())
# print(cursor.fetchmany(2)) # 提取指定数量记录

# print(res)
import pymysql

conn = pymysql.connect(
    host="127.0.0.1",
    port=3306,
    user="root",
    password="root",
    database="day47",
    charset="utf8"
)
# cursor 游标对象 负责执行sql语句 获取返回的数据
# pymysql.cursors.DictCursor指定使用字典类型的游标 默认是元祖类型
cursor = conn.cursor(pymysql.cursors.DictCursor)

# sql = "insert into user values(null,'中狗子','123')"
sql = "update user set name = '小黄' where name = '中狗子'"
# sql = "delete from user where name = '大狗子'"

res = cursor.execute(sql)
# pymysql不会自动提交  对数据的修改不会持久化 需要手动commit
conn.commit()
print(res)

 

三、sql注入攻击

import pymysql

conn = pymysql.connect(
    host="127.0.0.1",
    port=3306,
    user="root",
    password="root",
    database="day47",
    charset="utf8"
)
# cursor 游标对象 负责执行sql语句 获取返回的数据
# pymysql.cursors.DictCursor指定使用字典类型的游标 默认是元祖类型
cursor = conn.cursor(pymysql.cursors.DictCursor)

name = input("输入用户名:")

pwd = input("输入密码:")


sql = "select *from user where name = %s and password = %s"
res = cursor.execute(sql,(name,pwd))
if res:
    print("登录成功")
else:
    print("登录失败")


# 什么是sql注入攻击 
# 一些了解sql语法的攻击者  可以通过一些特殊符号 来修改 sql执行逻辑 达到绕过验证的效果

# 如何避免?
# 1.在输入时加上正则判断 不允许输入与sql相关的关键字 这种方式 无法避免 代理服务器发起的攻击
# 2.在服务器端 执行sql前先来一波判断

# pymysql中已经帮你做了处理  只要将参数的拼接交给pymysql来完成就能够避免攻击

 

查看更多关于【服务器其它】的文章

展开全文
相关推荐
反对 0
举报 0
评论 0
图文资讯
热门推荐
优选好物
更多热点专题
更多推荐文章
ORACLE 分页SQL
这个sql的分页很简单,但是由于十分常用,且通常用于查询大量数据的情况。SELECT * FROM(        SELECT A.*,ROWNUM RN        FROM                     (SELECT * FROM TABLE_XX ) A        WHERE ROWNUM=20)  TL WHERE RN =11 

0评论2023-02-07455

代码中批量执行Oracle SQL语句
  今天在写一个工具(winform),作用是批量的INSERT OR  UPDATE ORACLE数据库中的一个表。  执行的时候老是报错“[911] ORA-00911: invalid character”  我把SQL语句拷贝出来放到PL SQL中去执行,又是对的,因为测试时正好就一条语句,而且我生成语

0评论2023-02-07904

ORM之Dapper操作Sql Server和MySql数据库
1.为什么选择Dapper1)轻量。2)速度快。Dapper的速度接近与IDataReader,取列表的数据超过了DataTable。3)支持多种数据库。Dapper可以在所有Ado.net Providers下工作,包括sqlite, sqlce, firebird, oracle, MySQL, PostgreSQL and SQL Server4)可以映射一对一

0评论2023-02-07817

MySQL同步故障:" Slave_SQL_Running:No" 两种解决办法
进入slave服务器,运行:mysql show slave status\G         .......             Relay_Log_File: localhost-relay-bin.000535              Relay_Log_Pos: 21795072      Relay_Master_Log_File: localhost-bin

0评论2023-02-07815

获得某个月的天数(java, mysql, oracle)
java方式:Calendar   cal   =   Calendar.getInstance();  cal.set(Calendar.YEAR,year);  cal.set(Calendar.MONTH,month+1);//2月  int   maxDate   =   cal.getActualMaximum(Calendar.DATE);mysql方式:"SELECT day(LAST_DAY(‘2007-04

0评论2023-02-07941

Python操作mysql数据库出现pymysql.err.ProgrammingError: (1064, "You have an error in your SQL syntax; c
今天在用Python操作mysql数据库出现pymysql.err.ProgrammingError: (1064, "You have an error in your SQL syntax; check报错"SELECT Failure_code,describe from failure_occur_now order by ID DESC LIMIT 1“黄色区域为报错的位置仔细查找,发现没有语法

0评论2023-02-07392

Oracle 笔记(2) ----PL/SQL结构、注释、变量、分支语句
1、PL/SQL块结构:DECLARE ...BEGIN......EXCEPTION........END 注意:BEGIN 和 END之间不能什么语句都没有,如果不需要语句可以写NULL2、变量命名规则:① 变量由字符开头② 可以包含字母、数字、下划线、$、# 等③ 变量长度范围:1~30④ 不区分大小

0评论2023-02-07703

mysql动态执行sql批量删除数据 sqlserver批量删除数据
 CREATE PROCEDURE `sp_delete_pushmsg_data`() BEGINdeclare l_delete_date varchar(16);declare l_state_datevarchar(16);declare l_dutynoint;declare l_row_cnt int DEFAULT 0;declare rnint default 0;declare i int default 0;set l_dutyno=101;set l_

0评论2023-02-07801

[DB2, Derby, H2, HSQL, Informix, MS-SQL, MySQL, Oracle, PostgreSQL, Sybase]
2016-03-24 16:39:35.687http-8080-1[INFO ][org.springframework.jdbc.support.SQLErrorCodesFactory] SQLErrorCodes loaded: [DB2, Derby, H2, HSQL, Informix, MS-SQL, MySQL, Oracle, PostgreSQL, Sybase]2016-03-24 16:39:35.687http-8080-1[DEBUG][org.

0评论2023-02-07529

配置ogg异构oracle-mysql(3)目的端配置 oracle ogg mysql
目的端配置大致分为如下三个步骤:配置mgr,配置checkpoint table,配置应用进程在目的端先创建一张表,记得带主键:mysql create database hr;Query OK, 1 row affected (0.00 sec)mysql use hrDatabase changedmysql create table ah4(id int ,name varchar

0评论2023-02-07963

MySQL客户端工具的使用与MySQL SQL语句
MySQL客户端工具的使用1、MySQL程序的组成客户端mysql:CLI交互式客户端程序mycli:CLI交互式客户端程序;使用sql语句时会有提示信息mysql_secure_installation:安全初始化,强烈建议安装完以后执行此命令mysqldump:mysql备份工具mysqladmin:官方提供的shell

0评论2023-02-07799

MySQL 5.7之关于SQL_MODE的设置
目录一、sql_mode用来解决下面几类问题二、MySQL5.7中sql_mode参数默认值的说明(如下为MySQL 5.7.27版本)三、sql_mode 设置和修改总结sql_mode是个容易被忽视的变量,在5.5默认值是空值,在这种设置下是可以允许一些非法操作的,比如允许一些非法数据的插入

0评论2023-02-07623

IIS7配置PHP5.5 对找不到的文件启用文件监视的解决方法 原创
本文主要介绍IIS7配置PHP5.5 对找不到的文件启用文件监视的解决方法,比较实用,希望能给大家做一个参考。

0评论2016-06-26728

更多推荐