#Python#SQL增、删、改、查，以及安全问题

测试中用的SQL语言最多的就是增、删、改、查，如果在测试工具中使用问题不大，在Python或其它语言编写脚本使用时，就有一个不容忽视的问题，在此先留个悬念，简单介绍以下增删改查^-

SELECT：
SELECT * FROM table_name ——选取表中所有内容
SELECT * FROM table_name WHERE … ——选取表中所有符合条件的内容
SELECT column_name,column_name FROM table_name ——选取表中需要的内容

INSERT INTO：
INSERT INTO table_name VALUES (value1, value2, value3, ...) ——在表中插入数据
INSERT INTO table_name (column1,column2,column3,...) VALUES (value1,value2,value3,...) ——在表中指定列插入对应数据

UPDATE：
UPDATE table_name SET column1=value1,column2=value2,... WHERE some_column=some_value ——更新表中已存在的数据

DELETE：
DELETE FROM table_name WHERE some_column=some_value ——删除表中指定数据，如果没有WHERE...可（跑）以（路）试一下

Python与数据库之间的交互：

import sqlite3  # python自带的，根据需求自己调用


data = [('Tom', 'male', 22), ('Jenny', 'female', '18'), ('Huke', 'male', '29')]

db = sqlite3.connect('test.db')  # 连接数据库
cur = db.cursor()  # 创建一个游标
cur.execute('CREATE TABLE test (name TEXT, sex TEXT, age INTEGER)')  # 创建数据库表
# execute用来执行SQL语言
cur.execute('INSERT INTO test VALUES ("Jack", "male", 24)')  # 增
cur.execute('DELETE FROM test WHERE age=24')  # 删
cur.executemany('INSERT INTO test VALUES (?, ?, ?)', data)  # 增加多行数据
cur.execute('UPDATE test SET age=15 WHERE name="Jenny"')  # 改
cur.execute('SELECT * FROM test WHERE age <= 30')  # 查

如果想执行的查询操作需要接受用户提供的输入数据，请确保用？隔开参数。我们绝对不应该用Python的字符串格式化（即%）或者.format()方法来创建这种字符串。如果这样的格式化操作符提供的值来自于用户的输入，那么这就等于将你的程序敞开大门迎接SQL注入攻击。在查询操作中，特殊的？通配符会指示数据库后端启用自己的字符串替换机制，这样才能做的安全（希望如此）。不过数据库后端对通配符的支持并不一致，有许多模块采用的是?或%s。
以上一大段话(安全问题)来自《Python Cookbook》第3版Page200

如果在编写脚本时经常会用到SQL语言，每次使用cur.exexute('…')显然是一件很麻烦的事情，可以考虑定义一个类：

# -*- coding: utf-8 -*-
import sqlite3
import re


class QuickSQL:

    def __init__(self, data, table):
        self.data = data
        self.table = table
        self.db = sqlite3.connect(self.data)
        self.cur = self.db.cursor()
        self.cur.execute('CREATE TABLE {} (id INT IDENTITY(1,1))'.format(table))

    def create(self, *args):
        table = self.table
        for each in args:
            self.cur.execute('ALTER TABLE {} ADD {} TEXT'.format(table, each))
            self.db.commit()

    def select(self, col, search_x, condition='='):
        if re.search('\W', col + search_x) is not None:
            print('请输入合法字符！')
        if col == '' or search_x == '' or len(col) > 15 or len(search_x) > 15:  # 禁止输入空条件以及长字段信息，损失便利性，能简单防止SQL注入攻击
            print('请输入查询条件！')
        else:
            return self.cur.execute('SELECT * FROM {} WHERE {} {} {}'.format(self.table, col, condition, search_x))

    def closeDB(self):
        self.db.close()


if __name__ == '__main__':
    a = QuickSQL('abc.db', 'test')
    a.create('a', 'b', 'c')
    a.closeDB()

时间比较晚了，调试的不多，发现BUG请多多指导~
Python SQLite3 API：https://docs.python.org/2/library/sqlite3.html