测试中用的SQL语言最多的就是增、删、改、查,如果在测试工具中使用问题不大,在Python或其它语言编写脚本使用时,就有一个不容忽视的问题,在此先留个悬念,简单介绍以下增删改查-
SELECT:
SELECT * FROM table_name ——选取表中所有内容
SELECT * FROM table_name WHERE … ——选取表中所有符合条件的内容
SELECT column_name,column_name FROM table_name ——选取表中需要的内容
INSERT INTO:
INSERT INTO table_name VALUES (value1, value2, value3, ...) ——在表中插入数据
INSERT INTO table_name (column1,column2,column3,...) VALUES (value1,value2,value3,...) ——在表中指定列插入对应数据
UPDATE:
UPDATE table_name SET column1=value1,column2=value2,... WHERE some_column=some_value ——更新表中已存在的数据
DELETE:
DELETE FROM table_name WHERE some_column=some_value ——删除表中指定数据,如果没有WHERE...可(跑)以(路)试一下
Python与数据库之间的交互:
import sqlite3 # python自带的,根据需求自己调用
data = [('Tom', 'male', 22), ('Jenny', 'female', '18'), ('Huke', 'male', '29')]
db = sqlite3.connect('test.db') # 连接数据库
cur = db.cursor() # 创建一个游标
cur.execute('CREATE TABLE test (name TEXT, sex TEXT, age INTEGER)') # 创建数据库表
# execute用来执行SQL语言
cur.execute('INSERT INTO test VALUES ("Jack", "male", 24)') # 增
cur.execute('DELETE FROM test WHERE age=24') # 删
cur.executemany('INSERT INTO test VALUES (?, ?, ?)', data) # 增加多行数据
cur.execute('UPDATE test SET age=15 WHERE name="Jenny"') # 改
cur.execute('SELECT * FROM test WHERE age <= 30') # 查
如果想执行的查询操作需要接受用户提供的输入数据,请确保用?隔开参数。我们绝对不应该用Python的字符串格式化(即%)或者.format()方法来创建这种字符串。如果这样的格式化操作符提供的值来自于用户的输入,那么这就等于将你的程序敞开大门迎接SQL注入攻击。在查询操作中,特殊的?通配符会指示数据库后端启用自己的字符串替换机制,这样才能做的安全(希望如此)。不过数据库后端对通配符的支持并不一致,有许多模块采用的是?或%s。
以上一大段话(安全问题)来自《Python Cookbook》第3版Page200
如果在编写脚本时经常会用到SQL语言,每次使用cur.exexute('…')显然是一件很麻烦的事情,可以考虑定义一个类:
# -*- coding: utf-8 -*-
import sqlite3
import re
class QuickSQL:
def __init__(self, data, table):
self.data = data
self.table = table
self.db = sqlite3.connect(self.data)
self.cur = self.db.cursor()
self.cur.execute('CREATE TABLE {} (id INT IDENTITY(1,1))'.format(table))
def create(self, *args):
table = self.table
for each in args:
self.cur.execute('ALTER TABLE {} ADD {} TEXT'.format(table, each))
self.db.commit()
def select(self, col, search_x, condition='='):
if re.search('\W', col + search_x) is not None:
print('请输入合法字符!')
if col == '' or search_x == '' or len(col) > 15 or len(search_x) > 15: # 禁止输入空条件以及长字段信息,损失便利性,能简单防止SQL注入攻击
print('请输入查询条件!')
else:
return self.cur.execute('SELECT * FROM {} WHERE {} {} {}'.format(self.table, col, condition, search_x))
def closeDB(self):
self.db.close()
if __name__ == '__main__':
a = QuickSQL('abc.db', 'test')
a.create('a', 'b', 'c')
a.closeDB()
时间比较晚了,调试的不多,发现BUG请多多指导~
Python SQLite3 API:https://docs.python.org/2/library/sqlite3.html
网友评论