資料庫中的視圖的使用與存儲過程

視圖是什麼？

本質是一張虛擬表，他的數據來自select語句。

作用：

功能1：隱藏部分數據，開放指定的數據

功能2：因為視圖可以將查詢的結果保存特性，我可以用視圖來達到減少書寫sql的次數

例如：select *from emp where dept_id=(select id from dept where name=”市場”);

要查詢市場的人，將查詢的結果作為一個試圖，以後使用到這個需求就可以直接查看試圖。

如何使用：

創建試圖：

Create view test_view as select *from t1;

特點：

1. 每次對視圖進行的查詢，其實都是在次執行了as後面的小哈尋語句
2. 可以對視圖進行修改，修改會同步到原表
3. 視圖是永久保存的，存儲的不是數據，而是一條as sql語句

基本不使用視圖，因為你的程式開放的數據不是開放sql 語句，而開放的是查詢結果

Sql註入問題

import  pymysql

 

conn = pymysql.Connect(

    user="root",

    password="admin",

    host="localhost",

    database="day43",

    charset="utf8"

)

cursor = conn.cursor(pymysql.cursors.DictCursor)

#sql = "select *from user where user = '%s' and pwd = '%s';" % (input("input userName"),input("input password"))

 

# 當用戶輸入的用戶名為字元串 為 yy' --   時

# 最終產生的sql  select *from user where user = 'yy' -- ' and pwd = '987657890';

# -- 用於mysql註釋  意思是 後面的內容忽略掉

# 從而導致 密碼是否正確都能登錄成功

# "select *from user where user = 'axxax' or 1=1;

#print(sql)

count = cursor.execute("select *from user where user = %s and pwd = %s;",args=(input("user"),input("pwd")))

 

print(count)

if count:

    print("login success")

else:

    print("login error")

 

cursor.close()

conn.close()

Sql註入攻擊，是什麼意思？

一些瞭解授權sql語法的用戶可以輸入一些關鍵字或合法的sql語句，來導致原始sql邏輯發生變化，從而跳過登陸驗證或者刪除資料庫。

如何避免：在接受用戶輸入的數據時，可以加上限制，比如不能輸入 --’;where等等

上面這種方式只能避免黑客從你的客戶端和伺服器中間加一個中轉伺服器），這樣就繞過了客戶端的輸入限制，此時只能將生氣了sql合法性驗證放在伺服器端

總結：

Python如何避免sql註入？把你的sql（用戶輸入的）參數放在execute函數中，讓pymysql自動幫你屏蔽註入攻擊

存儲過程：

你可以理解為MySQL的編程語言。

作用：

可以將你的程式業務邏輯放到MySQL中來處理，這樣可以降低網路的訪問次數，從而提高你的程式效率。

我們可以將所有與數據存儲相關的業務邏輯全都放在MySQL中，但這樣意味著公司需要再請一個MySQL開發者，對你個人而言，提高了溝通成本。

三種開發模型：

對於同樣的一個業務，你可以放到Python有人可以放到MySQL有什麼區別？

1. 應用程式處理邏輯，需要動手編寫sql語句

優點：執行效率高；缺點：開發效率低

1. MySQL處理邏輯

特點：應用程式開發者不需要手動編寫sql語句，MySQL開發者來編寫。

優點：應用程式開發效率高；缺點：執行效率低，溝通成本高

1. 使用OMB(object relation map)對象關係映射，自動幫你生成對應的sql語句，比如你要註冊用戶，本來要寫insert語句，現在使用orm 調用save(用戶對象)

優點：開發效率高；缺點：執行效率低

存儲過程相當於Python中的一個函數，簡單的說，學習存儲過程就是學習如何使用MySQL編寫一個函數。

語法；

Create procedure 過程名稱({in ,out,inout}數據類型 參數名稱)

Begin

具體的代碼

End

參數前面需要指定參數的作用

In 表示該函數用於傳入數據

Out 用於返回數據

 

Inout 即可傳入也可返回

參數類型是MySQL中的數據類型

 案例:創建一個存儲過程 作用是將兩個整數相加

            create procedure add_p (in a int,in b int)

            begin

                select a + b;

            end

            //

  調用 call add_p(1,2)

案例：創建一個存儲過程作用是將兩個整數相加，將結果保存在變數中，先定義一個變數：set @su=100;

Create procedure add_p(int a int,in b int,out su int)

Begin

Set su=a+b;

End

//  

定義變數：set @su=100;

調用過程： call add_p2(10,20,@su);

註意：在存儲過程中，需要使用分號來結束一行，但是分號有特殊意義，因此將原始的結束符修改為其他符號。

Delimiter // 結束符更換為//

Delimiter；

 mysql中的if語句

          if 條件 then

            代碼

          elseif 條件 then

            代碼

          else then

            代碼

          end if;

 案例:

         使用存儲過程 完成  輸入 一個 數字 1或2   顯示 壹 或 貳

            create procedure show_p (in a int)

            begin

            if a = 1 then

                select "壹";

            elseif a = 2 then

                select "貳";

            else

                select "other";

            end if;

            end //

調用存儲過程 使用 call 過程名稱

call add_p(10,20);

        其他的流程式控制制

        switch

        case

        while

        repeat ==  do while

總結: 實際上一個mysql中的類似函數的東西  我們可以用它實現一些邏輯處理

      特點:裡面可以包含流程式控制制語句 和 普通的sql語句

        使用存儲過程的優勢

        提高應用程式開發效率

        降低網路訪問次數