Python-mysql 权限 pymysql 注入共计

时间:2023-01-05 12:57:00
1.mysql用户管理  ***
    数据安全非常重要  不可能随便分配root账户
    应该按照不同开发岗位分配不同的账户和权限

    mysql中 将于用户相关的数据放在mysql库
    user - > db - > tables_priv -> columns_priv
    如果用户拥有对所有库的访问权 则存储在 user中
    如果用户拥有对部分库的使用权          db
    如果用户拥有对部分表的使用权          tables;
    如果用户拥有对表中某些字段的使用权    columns_priv中

    创建新账户
    create user "账户名"@"主机名" identified by 密码
    create user "tom"@"localhost" identified by "123";

    授予所有数据库所有表的所有权限给jerry这个用户  并允许jerry在任意一台电脑登录
    如果用户不存在会自动创建
    grant all on *.* to "jerry"@"%" identified by  "123" with grant option;
    with grant option这个用户可以将拥有的权限授予别人

    授予day45数据库所有表的所有权限给jack这个用户  并允许jerry在任意一台电脑登录
    grant all on  day45.* to "jack"@"%" identified by  "123";
    授予day45数据库的emp表的所有权限给rose这个用户  并允许jerry在任意一台电脑登录
    grant all on  day45.emp to "rose"@"%" identified by  "123";
    授予day45数据库的emp表的name字段的查询权限给maria这个用户  并允许jerry在任意一台电脑登录
    grant select(name) on  day45.emp to "maria"@"%" identified by  "123";

    收回权限
    REVOKE all privileges [column] on db.table from user@"host";

    如何授权就如何收回 因为不同权限信息存到不同的表中
    REVOKE all privileges  on day45.emp from maria@"%";

    立即刷新权限信息
    flush privileges;

    # 删除用户
    drop user 用户名@主机
    drop user maria@%

    当你在云服务器部署了 mysql环境时 你的程序无法直接连接到服务器  需要授予在任意一台电脑登录的权限
    grant all on *.* to "jerry"@"%" identified by  "123" with grant option;

MySQL数据备份
1 使用mysqldump实现逻辑备份
    #语法:
    # mysqldump -h 服务器 -u用户名 -p密码 数据库名 > 备份文件.sql

    #示例:
        #单库备份
            mysqldump -uroot -p123 db1 > db1.sql
            mysqldump -uroot -p123 db1 table1 table2 > db1-table1-table2.sql
        #多库备份
            mysqldump -uroot -p123 --databases db1 db2 mysql db3 > db1_db2_mysql_db3.sql
        #备份所有库
            mysqldump -uroot -p123 --all-databases > all.sql

2 恢复逻辑备份
    #方法一:
        [root@egon backup]# mysql -uroot -p123 < /backup/all.sql
    #方法二:
        mysql> use db1;
        mysql> SET SQL_LOG_BIN=0;
        mysql> source /root/db1.sql

    #注:如果备份/恢复单个库时,可以修改sql文件
        DROP database if exists school;
        create database school;
        use school;

2.pymysql ****
    后期开发中都是用框架代替pymysql

    为什么使用pymysql 因为我们需要在程序去连接数据库进行增删改查

import pymysql
conn = pymysql.connect(
    host="127.0.0.1",
    port=3306,
    user="root",
    password="123",
    database="1123test",
    charset="utf8"
)
# cursor 游标对象 负责执行sql语句 获取返回的数据
# pymysql.cursors.DictCursor指定使用字典类型的游标 默认是元祖类型
cursor = conn.cursor(pymysql.cursors.DictCursor)

sql = "select *from book"

# 返回值是本次查询的记录条数
res = cursor.execute(sql)  #执行sql
# print(res)
# print(cursor.fetchall())   # 提取所有结果
print(cursor.fetchone())
print(cursor.fetchone())
# cursor.scroll(1,mode="absolute") # 游标从开始位置往后移动1条记录
cursor.scroll(1,mode="relative") # 游标从当前位置往后移动1条记录
print(cursor.fetchone())  # 提取一条记录
# print(cursor.fetchone())
# print(cursor.fetchone())
# print(cursor.fetchmany(2)) # 提取指定数量记录

3. sql注入共计
    注意:符号--会注释掉它之后的sql,正确的语法:--后至少有一个任意字符

    根本原理:就根据程序的字符串拼接name='%s',我们输入一个xxx' -- haha,
        用我们输入的xxx加'在程序中拼接成一个判断条件name='xxx' -- haha'

    # 什么是sql注入攻击 一些了解sql语法的攻击者  可以通过一些特殊符号 来修改 sql执行逻辑 达到绕过验证的效果
    # 避免的方式
        1.在输入时加上正则判断 不允许输入与sql相关的关键字 这种方式 无法避免 代理服务器发起的攻击
        2.在服务器端 执行sql前先来一波判断
    # pymysql中已经帮你做了处理  只要将参数的拼接交给pymysql来完成就能够避免攻击
import pymysql

conn = pymysql.connect(
    host="127.0.0.1",
    port=3306,
    user="root",
    password="123",
    database="1123test",
    charset="utf8"
)
# cursor 游标对象 负责执行sql语句 获取返回的数据
# pymysql.cursors.DictCursor指定使用字典类型的游标 默认是元祖类型
cursor = conn.cursor(pymysql.cursors.DictCursor)

author = input("输入author:")

page = input("输入page:")

sql = "select *from book where author = '%s' and page = '%s'" %(author,page)
# sql = "select *from book where author = %s and page = %s"
print(sql)
res = cursor.execute(sql)
# res = cursor.execute(sql,(author,page))
if res:
    print("登录成功")
else:
    print("登录失败")

4.mysql 增删改

import pymysql

conn = pymysql.connect(
    host="127.0.0.1",
    port=3306,
    user="root",
    password="root",
    database="day47",
    charset="utf8"
)
# cursor 游标对象 负责执行sql语句 获取返回的数据
# pymysql.cursors.DictCursor指定使用字典类型的游标 默认是元祖类型
cursor = conn.cursor(pymysql.cursors.DictCursor)

# sql = "insert into user values(null,'中狗子','123')"
sql = "update user set name = '小黄' where name = '中狗子'"
# sql = "delete from user where name = '大狗子'"

res = cursor.execute(sql)
# pymysql不会自动提交  对数据的修改不会持久化 需要手动commit
conn.commit()
print(res)

3.可视化工具navicat *****

    # 什么阶段使用可视化
    # 项目开始前 就应该先设计数据库  如果表很多 就需要使用可视化
    # 最好的功能是ER图  可以直观看出 表与表的关系
    掌握:
        #1. 测试+链接数据库
        #2. 新建库
        #3. 新建表,新增字段+类型+约束
        #4. 设计表:外键
        #5. 新建查询
    #6. 备份库/表

    #注意:
        批量加注释:ctrl+?键
        批量去注释:ctrl+shift+?键

Python-mysql 权限 pymysql 注入共计

Python-mysql 权限 pymysql 注入共计

														
		
Python-mysql 权限 pymysql 注入共计的更多相关文章
	

    

  1. 
Python - MySQL 数据库连接 - PyMySQL 驱动 - 第二十五天
		
    序言 本文我们为大家介绍 Python3 使用 PyMySQL 连接数据库,并实现简单的增删改查. 什么是 PyMySQL? PyMySQL 是在 Python3.x 版本中用于连接 MySQL 服务 ...
    
		
    2. 
						
  2. 
Python中操作mysql的pymysql模块详解
		
    Python中操作mysql的pymysql模块详解 前言 pymsql是Python中操作MySQL的模块,其使用方法和MySQLdb几乎相同.但目前pymysql支持python3.x而后者不支持 ...
    
		
    3. 
						
  3. 
第二百八十一节,MySQL数据库-SQL注入和pymysql模块防止SQL注入
		
    MySQL数据库-SQL注入和pymysql模块防止SQL注入 SQL注入就是通过SQL语句绕开程序判断,获取到数据库的内容 下面以一个简单的程序登录SQL注入举例: 正常登录 1.数据库有一张会员表 ...
    
		
    4. 
						
  4. 
Python操作MySQL -即pymysql&sol;SQLAlchemy用法
		
    本节介绍Python对于MySQL的一些操作用法 模块1:pymysql(等同于MySQLdb) 说明:pymysql与MySQLdb模块的使用基本相同,学会pymysql,使用MySQLdb也就不是 ...
    
		
    5. 
						
  5. 
Python&sol;MySQL(三、pymysql使用)
		
    Python/MySQL(三.pymysql使用) 所谓pymysql就是通过pycharm导入pymysql模块进行远程连接mysql服务端进行数据管理操作. 一.在pycharm中导入pymysq ...
    
		
    6. 
						
  6. 
python mysql中in参数化说明
		
    第一种:拼接字符串,可以解决问题,但是为了避免sql注入,不建议这样写 还是看看第二种:使用.format()函数,很多时候我都是使用这个函数来对sql参数化的 举个例子: select * from ...
    
		
    7. 
						
  7. 
python 之路,Day11(上) - python mysql and ORM
		
    python 之路,Day11 - python mysql and ORM   本节内容 数据库介绍 mysql 数据库安装使用 mysql管理 mysql 数据类型 常用mysql命令 创建数据库 ...
    
		
    8. 
						
  8. 
python mysql 视图 触发器 事物 存储过程 用户授权 数据备份还原
		
    ###################总结########### 视图是一个虚拟表(非真实存在) 是跑在内存中的表,真实表是在硬盘上的表 使用视图我们可以把查询过程中的临时表摘出来,保存下来,用视图去 ...
    
		
    9. 
						
  9. 
10分钟教你Python&plus;MySQL数据库操作
		
    欲直接下载代码文件,关注我们的公众号哦!查看历史消息即可! 本文介绍如何利用python来对MySQL数据库进行操作,本文将主要从以下几个方面展开介绍: 1.数据库介绍 2.MySQL数据库安装和设置 ...
    
		
    10. 
		


随机推荐
	

    

  1. 
Mysql从客户端连接服务器连不上的问题
			
    Mysql从客户端连接服务器连不上的问题   公司要用Mysql做一个测试,开始在自己的本地建一个Mysql数据库自己本地的程序再连上去,没有遇到过连接不上的问题.这次数据库在服务器上,从本地客户端连 ...
    
			
    2. 
						
  2. 
计算DNA中每种核苷酸的数目
			
    问题描述:计算DNA中每种核苷酸的数目 输入文件内容: 代码: 输出结果:
    
			
    3. 
						
  3. 
final和static
			
    /*    final修饰符  1. final修饰的类不能被继承,没有子类  2. final修饰的方法不能被子类覆盖  3. final修饰的变量表示常量,只能被赋值一次  4. final 修饰 ...
    
			
    4. 
						
  4. 
POJ 3580 &lpar;伸展树&rpar;
			
    题目链接: http://poj.org/problem?id=3580 题目大意:对一个序列进行以下六种操作.输出MIN操作的结果. 解题思路: 六个操作,完美诠释了伸展树有多么吊.注意,默认使用L ...
    
			
    5. 
						
  5. 
Winform设置相关
			
    >>  Winform查找根目录 1) AppDomain.CurrentDomain.BaseDirectory 地址为: d:\MyProject\Bin\  Application. ...
    
			
    6. 
						
  6. 
生产者与消费者(三)---BlockingQueue
			
    前面阐述了实现生产者与消费者问题的两种方式:wait() / notify()方法 和 await() / signal()方法,本文继续阐述多线程的经典问题---生产者与消费者的第三种方式:Bloc ...
    
			
    7. 
						
  7. 
如何让linux时间与internet时间同步&lpar;centos&rpar;
			
    笔者在使用linux时(虚拟机),经常会发现使用一段时间后,linux时间和我的宿主机(真实机)的时间不一致,而宿主机的时间确实是internet时间,安装linux时选择的时区也是Asia/Shan ...
    
			
    8. 
						
  8. 
bzoj1070 修车&amp&semi;&amp&semi; bzoj2879美食节 【费用流】
			
    bzoj1070: 把每个工人拆成汽车那么多个点,假如说 工人(i, j) 和 汽车k 连边,那就代表第i个工人倒数第j个修汽车k,那么这条边对以后的贡献就是k*time[i修k]. #include ...
    
			
    9. 
						
  9. 
&lbrack;Swift&rsqb;LeetCode630&period; 课程表 III &vert; Course Schedule III
			
    There are n different online courses numbered from 1 to n. Each course has some duration(course leng ...
    
			
    10. 
						
  10. 
坚定关于考研或者工作的决定:work
			
    转眼之间,我已经夸过了大二结束的节点,已经是一个准大三了: 在这个岔路口,首要的选择就是考研和工作的选择:我也有过犹豫要不要考研,最终还是放弃了考研的想法,从考研的利弊两个方面来谈:        首 ...
    
			
    11. 
			
相关文章