10.26 知识总结（python操作MySQL、SQL注入问题、事务、触发器等）

一、Python操作Mysql（重要）

       MySQL本身就是一款C/S架构，有服务端、有客户端，自身带了有客户端：mysql.exe
python这门语言成为了MySQL的客户端(对于一个服务端来说，客户端可以有很多) 

     1.1 操作步骤

          1.先链接MySQL

    conn=pymysql.connect(
    host='127.0.0.1',
    port=3306,
    user='root',
    password='1234',
    db='db10',
    charset='utf8',
    autocommit=True
)

   2. 获取游标

cur=conn.cursor(cursor=pymysql.cursors.DictCursor)

 3.  写SQL语句

sql='select * from student'
sql='insert into teacher(tid, tname) values (7, "ly1")'

4.   开始执行SQL语句

affect_rows=cur.execute(sql)

注：需要执行二次确认: 除了查询之外都要二次确认提交

5.  获取到结果

res=cur.fetchone()
res=cur.fetchall()
 res=cur.fetchmany(5)
 {'sid': 1, 'gender': '男', 'class_id': 1, 'sname': '理解'}
print(res) # (1, '男', 1, '理解')  元组类型

 for i in res:

      print(i.get("sid"))

 二、 SQL注入问题

    2.1 什么是SQL注入

由于程序员对用户输入的数据的合法性没有进行判断和处理;导致客户端可以通过向服务器提交恶意输入 ，造成服务端产生畸形SQL语句，从而非法读取网站数据库，而不是按照设计者意图去执行SQL语句。

2.2 原理

网站后台对前台传入的数据没有进行合理的过滤，使得攻击者可以构造畸形的输入，从而改变原查询语句的语义，最终执行非法指令、传入非法参数、增加额外条件等。 

2.3 危害

绕过登录验证：攻击者可能使用万能密码直接登录网站后台。

敏感信息泄露：攻击者可查看数据库，得到管理员账户密码等敏感信息。

网站植入木马：可能服务器被上传webshell，远程执行命令、创建后门。

数据库被篡改：可能被攻击者增加管理员账户、增加、删除数据。

三、 视图

   3.1 什么是视图？

视图就是通过查询得到一张虚拟表，然后保存下来，下次直接使用即可

 3.2 为什么要用视图？

如果要频繁使用一张虚拟表，可以不用重复查询

3.3  如何用视图？

create view teacher2course as
select * from teacher inner join course on teacher.tid = course.teacher_id;
"""
创建好了之后 验证它的存在navicat验证 cmd终端验证
最后文件验证 得出下面的结论 视图只有表结构数据还是来源于之前的表
delete from teacher2course where id=1;
"""

强调！！！

1、在硬盘中，视图只有表结构文件，没有表数据文件

2、视图通常是用于查询，尽量不要修改视图中的数据

 每日一问：开发过程中会不会去使用视图？

不会！视图是mysql的功能，如果你的项目里面大量的使用到了视图，那意味着你后期想要扩张某个功能的时候这个功能恰巧又需要对视图进行修改，意味着你需要先在mysql这边将视图先修改一下，然后再去应用程序中修改对应的sql语句，这就涉及到跨部门沟通的问题，所以通常不会使用视图，而是通过重新修改sql语句来扩展功能

四、 触发器

4.1 什么是触发器

 在满足对某张表数据的增、删、改的情况下，自动触发的功能称之为触发器。

4.2  为何要用触发器？

触发器专门针对我们对某一张表数据增insert、删delete、改update的行为，这类行为一旦执行
就会触发触发器的执行，即自动运行另外一段sql代码

4.3  创建触发器语法

"""语法结构
create trigger 触发器的名字 before/after insert/update/delete on 表名 for each row
begin
    sql语句
end
"""

# 针对插入
create trigger tri_after_insert_t1 after insert on 表名 for each row
begin
    sql代码。。。
end 
create trigger tri_after_insert_t2 before insert on 表名 for each row
begin
    sql代码。。。
end

# 针对删除
create trigger tri_after_delete_t1 after delete on 表名 for each row
begin
    sql代码。。。
end
create trigger tri_after_delete_t2 before delete on 表名 for each row
begin
    sql代码。。。
end

# 针对修改
create trigger tri_after_update_t1 after update on 表名 for each row
begin
    sql代码。。。
end
create trigger tri_after_update_t2 before update on 表名 for each row
begin
    sql代码。。。
end

"""
需要注意 在书写sql代码的时候结束符是; 而整个触发器的结束也需要分号;
这就会出现语法冲突 需要我们临时修改结束符号
delimiter $$
delimiter ; 
该语法只在当前窗口有效  
"""

# 案例
CREATE TABLE cmd (
    id INT PRIMARY KEY auto_increment,
    USER CHAR (32),
    priv CHAR (10),
    cmd CHAR (64),
    sub_time datetime, #提交时间
    success enum ('yes', 'no') #0代表执行失败
);

CREATE TABLE errlog (
    id INT PRIMARY KEY auto_increment,
    err_cmd CHAR (64),
    err_time datetime
);

delimiter

# 将mysql默认的结束符由;换成" role="presentation"># 将mysql默认的结束符由;换成$$\text{\# 将mysql默认的结束符由;换成}$$

create trigger tri_after_insert_cmd after insert on cmd for each row
begin
    if NEW.success = 'no' then  # 新记录都会被MySQL封装成NEW对象
        insert into errlog(err_cmd,err_time) values(NEW.cmd,NEW.sub_time);
    end if;
end $$

delimiter ;  # 结束之后记得再改回来，不然后面结束符就都是$$了

#往表cmd中插入记录，触发触发器，根据IF的条件决定是否插入错误日志
INSERT INTO cmd (
    USER,
    priv,
    cmd,
    sub_time,
    success
)
VALUES
    ('egon','0755','ls -l /etc',NOW(),'yes'),
    ('egon','0755','cat /etc/passwd',NOW(),'no'),
    ('egon','0755','useradd xxx',NOW(),'no'),
    ('egon','0755','ps aux',NOW(),'yes');

# 查询errlog表记录
select * from errlog;
# 删除触发器
drop trigger tri_after_insert_cmd;

五、 事务(掌握重点)

 5.1 什么是事务？

开启一个事务可以包含一些sql语句，这些sql语句要么同时成功。
要么一个都别想成功，称之为事务的原子性。

5.2 事务的四个特征（ACID ） 

原子性（atomicity）。一个事务是一个不可分割的工作单位，事务中包括的诸操作要么都做，要么都不做。

一致性（consistency）。事务必须是使数据库从一个一致性状态变到另一个一致性状态。一致性与原子性是密切相关的。

隔离性（isolation）。一个事务的执行不能被其他事务干扰。即一个事务内部的操作及使用的数据对并发的其他事务是隔离的，并发执行的各个事务之间不能互相干扰。

持久性（durability）。持久性也称永久性（permanence），指一个事务一旦提交，它对数据库中数据的改变就应该是永久性的。接下来的其他操作或故障不应该对其有任何影响。

5.3 如何用

 先介绍事务的三个关键字 再去用表实际展示效果
start transaction;
commit;
rollback;

create table user(
id int primary key auto_increment,
name char(32),
balance int
);

insert into user(name,balance)
values
('jason',1000),
('egon',1000),
('tank',1000);

# 修改数据之前先开启事务操作
start transaction;

# 修改操作
update user set balance=900 where name='jason'; #买支付100元
update user set balance=1010 where name='egon'; #中介拿走10元
update user set balance=1090 where name='tank'; #卖家拿到90元

# 回滚到上一个状态
rollback;

# 开启事务之后，只要没有执行commit操作，数据其实都没有真正刷新到硬盘
commit;
"""开启事务检测操作是否完整，不完整主动回滚到上一个状态，如果完整就应该执行commit操作"""

# 站在python代码的角度，应该实现的伪代码逻辑，
try:
    # 少了开事务...
    update user set balance=900 where name='jason'; #买支付100元
    update user set balance=1010 where name='egon'; #中介拿走10元
    update user set balance=1090 where name='tank'; #卖家拿到90元
except 异常:
    rollback;
else:
    commit;

六、 存储过程

存储过程包含了一系列可执行的sql语句，存储过程存放于MySQL中，通过调用它的名字可以执行其内部的一堆sql,类似于python中的自定义函数

6.1 基本使用

delimiter

createprocedurep1()beginselect∗fromuser;end" role="presentation">createprocedurep1()beginselect∗fromuser;end$$createprocedurep1()beginselect\ast fromuser;end$$

delimiter ;

# 调用
call p1()

6.2 三种开发模型

  第一种

应用程序：只需要开发应用程序的逻辑
mysql:编写好存储过程，以供应用程序调用
优点：开发效率，执行效率都高
缺点：考虑到人为因素、跨部门沟通等问题，会导致扩展性差

第二种 

应用程序：除了开发应用程序的逻辑，还需要编写原生sql
优点：比方式1，扩展性高(非技术性的)
缺点：
1、开发效率，执行效率都不如方式1
2、编写原生sql太过于复杂，而且需要考虑到sql语句的优化问题

第三种

应用程序：开发应用程序的逻辑，不需要编写原生sql，基于别人编写好的框架来处理数据，ORM
优点：不用再编写纯生sql，这意味着开发效率比方式2高，同时兼容方式2扩展性高的好处
缺点：执行效率连方式2都比不过

6.3  创建存储过程

# 介绍形参特点  再写具体功能

delimiter $$

create procedure p2(
    in m int,  # in表示这个参数必须只能是传入不能被返回出去
    in n int,  
    out res int  # out表示这个参数可以被返回出去
)
begin
    select tname from teacher where tid > m and tid < n;
    set res=0;  # 用来标志存储过程是否执行
end $$
delimiter ;

# 针对res需要先提前定义
set @res=10;  定义
select @res;  查看
call p1(1,5,@res)  调用
select @res  查看

6.4  如何用存储过程

 大前提:存储过程在哪个库下面创建的只能在对应的库下面才能使用！！！

 1、直接在mysql中调用
set @res=10  # res的值是用来判断存储过程是否被执行成功的依据，所以需要先定义一个变量@res存储10
call p1(2,4,10);  # 报错
call p1(2,4,@res);  

 查看结果
select @res;  # 执行成功，@res变量值发生了变化

 2、在python程序中调用
pymysql链接mysql
产生的游表cursor.callproc('p1',(2,4,10))  # 内部原理：@_p1_0=2,@_p1_1=4,@_p1_2=10;
cursor.execute('select @_p1_2;')

 3、存储过程与事务使用举例(了解)
delimiter //
create PROCEDURE p5(
    OUT p_return_code tinyint
)
BEGIN
    DECLARE exit handler for sqlexception
    BEGIN
        -- ERROR
        set p_return_code = 1;
        rollback;
    END;

  DECLARE exit handler for sqlwarning
  BEGIN
      -- WARNING
      set p_return_code = 2;
      rollback;
  END;

  START TRANSACTION;
      update user set balance=900 where id =1;
      update user123 set balance=1010 where id = 2;
      update user set balance=1090 where id =3;
  COMMIT;

  -- SUCCESS
  set p_return_code = 0; #0代表执行成功

END //
delimiter ;

七、 索引（重点）

 知识回顾:数据都是存在硬盘上的，那查询数据不可避免的需要进行IO操作。索引就是一种数据结构，类似于书的目录。意味着以后再查数据应该先找目录再找数据，而不是用翻页的方式查询数据索引在MySQL中也叫做“键”，是存储引擎用于快速找到记录的一种数据结构。

通过不断地缩小想要获取数据的范围来筛选出最终想要的结果，同时把随机的事件变成顺序的事件，也就是说，有了这种索引机制，我们可以总是用同一种查找方式来锁定数据。

  7.1  索引的影响

• 在表中有大量数据的前提下，创建索引速度会很慢(建表的时候，如果明显需要索引，就提前加上)

  # 以后实际添加索引的时候，尽量在空表的时候添加，在创建表的时候就添加索引，此时添加索引是最快的
  # 如果表中数据已经有了，还需要添加索引，也可以，只不过创建索引的速度会很慢，不建议这样做

• 在索引创建完毕后，对表的查询性能会大幅度提升，但是写的性能会降低

  # 但是，写的性能影响不是很大，因为在实际中，写的频率很少，大部分操作都是查询
  # 如何添加索引？到底给哪些字段加索引呢?
  '''没有固定答案，具体给哪个字段加索引，要看你实际的查询条件'''
  select * from user where name='' and password='';
  # 索引的使用其实是需要大量的工作经验，才能正确的判断出
  '''不要一创建表就加索引，在一张表中，最多最多不要超过15个索引，索引越多，性能就会下降'''
  # 如何数据量比较小，不需要加索引，100w一下一般不用加，mysql针对于1000w一下的数据，性能不会下降太多.