python連接PostgreSQL過程解析

1. 常用模塊

# 連接數據庫

connect()函數創建一個新的數據庫連接對話并返回一個新的連接實例對象

1. PG_CONF_123 = {
2. 'user':'emma',
3. 'port':123,
4. 'host':'192.168.1.123',
5. 'password':'emma',
6. 'database':'dbname'}
7. conn = psycopg2.connect(**PG_CONF_123)

# 打開一個操作整個數據庫的光標

連接對象可以創建光標用來執行SQL語句

1. cur = conn.cursor()

# 執行一個創建表的SQL語句

光標可以使用execute()和executemany()函數

1. cur.execute("CREATE TABLE test (id serial PRIMARY KEY, num integer, data varchar);")

# 傳遞參數給插入語句

1. cur.execute("INSERT INTO test (num, data) VALUES (%s, %s)",(100, "abc'def"))

# 執行查詢語句并將獲取到的數據作為python對象

1. cur.execute("SELECT * FROM test;")
2. cur.fetchone()
3. (1, 100, "abc'def")

# 提交修改

如果只使用查詢語句不用commit方法，insert/update/delete等操作需要調用commit()。rollback()函數用于會滾到上次調用commit()方法之后。

1. conn.commit()

# 關閉數據庫連接

1. cur.close()
2. conn.close()

2. 防范SQL注入漏洞

典型的SQL注入漏洞形式：

SQL = "select * from userinfo where id = '%s'" % (id)

SQL = "select * from userinfo where id = '{}'".format(id)

如果有人惡意攻擊，在傳入參數的代碼中加入惡意代碼，如：

request.id = '123; drop tabel userid;'

會造成嚴重風險，為防止此問題，應該通過第二位變量傳入參數的方法：%s(無論變量是什么數據類型，都使用%s)

1. SQL = "INSERT INTO authors (name) VALUES (%s);" # Note: no quotes
2. data = ("O'Reilly", )
3. cur.execute(SQL, data) # Note: no % operator

以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支持我們。