mysql基础三（视图、触发器、函数、存储过程、事务、防注入）

一、视图

视图是一个虚拟表（非真实存在），其本质是【根据SQL语句获取动态的数据集，并为其命名】，用户使用时只需使用【名称】即可获取结果集，并可以将其当作表来使用。

1、创建视图

-格式：CREATE VIEW 视图名称 AS  SQL语句

CREATE VIEW v1 AS

SELET nid,

    name

FROM

    A

WHERE

    nid > 4

2、删除视图

--格式：DROP VIEW 视图名称

DROP VIEW v1

3、修改视图

-- 格式：ALTER VIEW 视图名称 AS SQL语句

ALTER VIEW v1 AS

SELET A.nid,

    B. NAME

FROM

    A

LEFT JOIN B ON A.id = B.nid

LEFT JOIN C ON A.id = C.nid

WHERE

    A.id > 2

AND C.nid < 5

4、使用视图

视图的使用和普通表一样，由于视图是虚拟表，所以无法对其真实表进行创建、更新和删除操作，仅做查询用。

select * from v1;

5、查看视图

SELECT * from information_schema.VIEWS;

二、条件和循环

1、条件语句

if then\ elseif then\ else\ end if

# if条件语句

delimiter \\

CREATE PROCEDURE proc_if ()

BEGIN

    declare i int default 0;

    if i = 1 THEN

        SELECT 1;

    ELSEIF i = 2 THEN

        SELECT 2;

    ELSE

        SELECT 7;

    END IF;

END\\

delimiter ;

2、循环语句

分为三种循环语句：while循环、repeat循环、loop循环

while循环

语法：while 条件 do/end while

delimiter \\

CREATE PROCEDURE proc_while ()

BEGIN

    DECLARE num INT ;

    SET num = 0 ;

    WHILE num < 10 DO

        SELECT

            num ;

        SET num = num + 1 ;

    END WHILE ;

END\\

delimiter ;

repeat循环

语法：repeat /end repeat

delimiter \\

CREATE PROCEDURE proc_repeat ()

BEGIN

    DECLARE i INT ;

    SET i = 0 ;

    repeat

        select i;

        set i = i + 1;

        until i >= 5

    end repeat;

END\\

delimiter ;

loop循环

delimiter \\

CREATE PROCEDURE proc_loop ()

BEGIN

    declare i int default 0;

    loop_label: loop

        select i;

        set i=i+1;

        if i>=5 then

            leave loop_label;

            end if;

    end loop;

END\\

delimiter ;

三、触发器

对某个表进行【增/删/改】操作的前后触发一些操作即为触发器，如果希望触发增删改的行为之前或之后做操作时，可以使用触发器，触发器用于自定义用户对表的行进行【增/删/改】前后的行为。

1、创建基本语法

# 插入前

CREATE TRIGGER tri_before_insert_tb1 BEFORE INSERT ON tb1 FOR EACH ROW

BEGIN

    ...

END

# 插入后

CREATE TRIGGER tri_after_insert_tb1 AFTER INSERT ON tb1 FOR EACH ROW

BEGIN

    ...

END

# 删除前

CREATE TRIGGER tri_before_delete_tb1 BEFORE DELETE ON tb1 FOR EACH ROW

BEGIN

    ...

END

# 删除后

CREATE TRIGGER tri_after_delete_tb1 AFTER DELETE ON tb1 FOR EACH ROW

BEGIN

    ...

END

# 更新前

CREATE TRIGGER tri_before_update_tb1 BEFORE UPDATE ON tb1 FOR EACH ROW

BEGIN

    ...

END

# 更新后

CREATE TRIGGER tri_after_update_tb1 AFTER UPDATE ON tb1 FOR EACH ROW

BEGIN

    ...

END

特别的：NEW表示即将插入的数据行，OLD表示即将删除的数据行。

delimiter //

CREATE TRIGGER tri_before_insert_tb1 BEFORE INSERT ON tb7 FOR EACH ROW

BEGIN

IF NEW. user = 'qq' THEN

    INSERT INTO tb2 (NAME) VALUES ('aa');

END IF;

END //

delimiter ;

插入前触发器

delimiter //

CREATE TRIGGER tri_after_insert_tb1 AFTER INSERT ON tb7 FOR EACH ROW

BEGIN

    IF NEW. licnese = 666 THEN

        INSERT INTO tb2 (NAME)

        VALUES

            (''),

            ('') ;

    ELSEIF NEW. licnese = 555 THEN

        INSERT INTO tb2 (name)

        VALUES

            (''),

            ('') ;

    END IF;

END//

delimiter ;

插入后触发器

2、删除触发器

DROP TRIGGER tri_after_insert_tb1;

3、使用触发器

触发器无法由用户直接调用，而由对表的【增/删/改】操作被动触发的。

insert into tb1(num) values(666)

4、查看触发器

 show triggers FROM 库名\G
 SHOW TRIGGERS\G

5、查看触发器创建语句

show create trigger trigger_name\G

6、触发器的执行顺序

我们建立的数据库一般都是 InnoDB 数据库，其上建立的表是事务性表，也就是事务安全的。这时，若SQL语句或触发器执行失败，MySQL 会回滚事务，有：

1、如果 BEFORE 触发器执行失败，SQL 无法正确执行。

2、SQL 执行失败时，AFTER 型触发器不会触发。

3、AFTER 类型的触发器执行失败，SQL 会回滚。

四、存储过程

存储过程是一个SQL语句集合，当主动去调用存储过程时，其中内部的SQL语句会按照逻辑执行。

1、创建存储过程

无参数存储过程

-- 创建存储过程

delimiter //　　#修改结束符号，为//

create procedure p1()

BEGIN

    select * from t1;

END//

delimiter ;

-- 执行存储过程

call p1()

对于存储过程，可以接收参数，其参数有三类：

in 仅用于传入参数用
out 仅用于返回值用
inout 既可以传入又可以当作返回值

关于变量设置，对于调用存储过程或者函数时，外部传入参数或者获取参数，需加符号@，例如set @t=1；在本次会话内这些带@的变量都可以被获取到。断开连接后变量失效。

有参数存储过程

-- 创建存储过程

delimiter \\

create procedure p1(

    in i1 int,

    in i2 int,

    inout i3 int,

    out r1 int

)

BEGIN

    DECLARE temp1 int;

    DECLARE temp2 int default 0;

    set temp1 = 1;

    set r1 = i1 + i2 + temp1 + temp2;

    set i3 = i3 + 100;

end\\

delimiter ;

-- 执行存储过程

SET @t2=3;

CALL p1 (1, 2 ,@t1, @t2);

SELECT @t1,@t2;

delimiter //　将结束符号;修改为//
DECLARE　　声明变量。如果没有DEFAULT子句，初始值为NULL。用于内部变量申明。
SET　　　　变量赋值。用于内部变量赋值，和传参数时参数赋值。

2、删除存储过程

drop procedure proc_name;

3、执行存储过程

-- 无参数

call proc_name();

-- 有参数，全in

call proc_name(1,2);

-- 有参数，有in，out，inout

set @t1=3;

call proc_name(1,2,@t1,@t2);

#!/usr/bin/env python

# -*- coding:utf-8 -*-

import pymysql

conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', passwd='', db='t1')

cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)

# 执行存储过程

cursor.callproc('p1', args=(1, 22, 3, 4))

# 获取执行完存储的参数

cursor.execute("select @_p1_0,@_p1_1,@_p1_2,@_p1_3")

result = cursor.fetchall()

conn.commit()

cursor.close()

conn.close()

print(result)

pymysql执行存储过程

4、查看存储过程

列出所有的存储过程

SHOW  PROCEDURE  STATUS;

5、查看存储过程生成语句

查看存储过程

SHOW CREATE PROCEDURE 存储过程名\G

五、函数

1、内置函数

MySQL中提供了许多内置函数，例如：

CHAR_LENGTH(str)

        返回值为字符串str 的长度，长度的单位为字符。一个多字节字符算作一个单字符。

        对于一个包含五个二字节字符集, LENGTH()返回值为 10, 而CHAR_LENGTH()的返回值为5。

    CONCAT(str1,str2,...)

        字符串拼接

        如有任何一个参数为NULL ，则返回值为 NULL。

    CONCAT_WS(separator,str1,str2,...)

        字符串拼接（自定义连接符）

        CONCAT_WS()不会忽略任何空字符串。 (然而会忽略所有的 NULL）。

    CONV(N,from_base,to_base)

        进制转换

        例如：

            SELECT CONV('a',16,2); 表示将 a 由16进制转换为2进制字符串表示

    FORMAT(X,D)

        将数字X 的格式写为'#,###,###.##',以四舍五入的方式保留小数点后 D 位， 并将结果以字符串的形式返回。若  D 为 0, 则返回结果不带有小数点，或不含小数部分。

        例如：

            SELECT FORMAT(12332.1,4); 结果为： '12,332.1000'

    INSERT(str,pos,len,newstr)

        在str的指定位置插入字符串

            pos：要替换位置其实位置

            len：替换的长度

            newstr：新字符串

        特别的：

            如果pos超过原字符串长度，则返回原字符串

            如果len超过原字符串长度，则由新字符串完全替换

    INSTR(str,substr)

        返回字符串 str 中子字符串的第一个出现位置。

    LEFT(str,len)

        返回字符串str 从开始的len位置的子序列字符。

    LOWER(str)

        变小写

    UPPER(str)

        变大写

    LTRIM(str)

        返回字符串 str ，其引导空格字符被删除。

    RTRIM(str)

        返回字符串 str ，结尾空格字符被删去。

    SUBSTRING(str,pos,len)

        获取字符串子序列

    LOCATE(substr,str,pos)

        获取子序列索引位置

    REPEAT(str,count)

        返回一个由重复的字符串str 组成的字符串，字符串str的数目等于count 。

        若 count <= 0,则返回一个空字符串。

        若str 或 count 为 NULL，则返回 NULL 。

    REPLACE(str,from_str,to_str)

        返回字符串str 以及所有被字符串to_str替代的字符串from_str 。

    REVERSE(str)

        返回字符串 str ，顺序和字符顺序相反。

    RIGHT(str,len)

        从字符串str 开始，返回从后边开始len个字符组成的子序列

    SPACE(N)

        返回一个由N空格组成的字符串。

    SUBSTRING(str,pos) , SUBSTRING(str FROM pos) SUBSTRING(str,pos,len) , SUBSTRING(str FROM pos FOR len)

        不带有len 参数的格式从字符串str返回一个子字符串，起始于位置 pos。带有len参数的格式从字符串str返回一个长度同len字符相同的子字符串，起始于位置 pos。 使用 FROM的格式为标准 SQL 语法。也可能对pos使用一个负值。假若这样，则子字符串的位置起始于字符串结尾的pos 字符，而不是字符串的开头位置。在以下格式的函数中可以对pos 使用一个负值。

        mysql> SELECT SUBSTRING('Quadratically',5);

            -> 'ratically'

        mysql> SELECT SUBSTRING('foobarbar' FROM 4);

            -> 'barbar'

        mysql> SELECT SUBSTRING('Quadratically',5,6);

            -> 'ratica'

        mysql> SELECT SUBSTRING('Sakila', -3);

            -> 'ila'

        mysql> SELECT SUBSTRING('Sakila', -5, 3);

            -> 'aki'

        mysql> SELECT SUBSTRING('Sakila' FROM -4 FOR 2);

            -> 'ki'

    TRIM([{BOTH | LEADING | TRAILING} [remstr] FROM] str) TRIM(remstr FROM] str)

        返回字符串 str ， 其中所有remstr 前缀和/或后缀都已被删除。若分类符BOTH、LEADIN或TRAILING中没有一个是给定的,则假设为BOTH 。 remstr 为可选项，在未指定情况下，可删除空格。

        mysql> SELECT TRIM('  bar   ');

                -> 'bar'

        mysql> SELECT TRIM(LEADING 'x' FROM 'xxxbarxxx');

                -> 'barxxx'

        mysql> SELECT TRIM(BOTH 'x' FROM 'xxxbarxxx');

                -> 'bar'

        mysql> SELECT TRIM(TRAILING 'xyz' FROM 'barxxyz');

                -> 'barx'

mysql内置函数

更多函数：猛击这里 OR 猛击这里

2、自定义函数

delimiter \\

create function f1(

    i1 int,

    i2 int)

returns int

BEGIN

    declare num int;

    set num = i1 + i2;

    return(num);

END \\

delimiter ;

3、删除函数

drop function func_name;

4、执行函数

# 获取返回值

　　set @i1=1;
　　set @i2=2;
　　select f1(@i1,@i2) into @j;
　　SELECT @j;

# 在查询中使用,对列的值函数计算后返回。

select f1(11,nid) ,name from tb2;

5、查看函数

show function status;

6、查看函数构建语句

show create function func_name\G

六、事务

事务用于将某些操作的多个SQL作为原子性操作，一旦有某一个出现错误，即可回滚到原来的状态，从而保证数据库数据完整性。

定义存储过程：

delimiter \\

drop PROCEDURE if EXISTS p1;

create PROCEDURE p1(

    OUT p_return_code tinyint

)

BEGIN

  DECLARE exit handler for sqlexception     -- 定义错误处理

  BEGIN

    -- ERROR

    set p_return_code = 1;

    rollback; -- 回滚

  END; 

  DECLARE exit handler for sqlwarning     -- 定义告警处理

  BEGIN

    -- WARNING

    set p_return_code = 2;

    rollback;

  END; 

  START TRANSACTION; -- 开始事务，使下面的多条SQL语句操作变成原子性操作

        UPDATE tb7 set licnese=(licnese-5) WHERE nid=21;

        UPDATE tb7 set licnese=(licnese+5) WHERE nid=22; 

  COMMIT; 

  -- SUCCESS

  set p_return_code = 0; 

END\\

delimiter ;

执行存储过程：

call p1(@p);

SELECT @p;

七、SQL防注入之动态SQL

在高级语言的DB API不提供防注入的参数化查询功能时，可以使用这种方法来防止SQL注入。在pymysql中的调用点这里。

定义存储过程：

delimiter \\

DROP PROCEDURE IF EXISTS proc_sql \\

CREATE PROCEDURE proc_sql (

    in nid1 INT,

    in nid2 INT,

    in callsql VARCHAR(255)

    )

BEGIN

    set @nid1 = nid1;

    set @nid2 = nid2;

    set @callsql = callsql;

        PREPARE myprod FROM @callsql;

--     PREPARE prod FROM 'select * from tb2 where nid>? and  nid<?';    传入的值为字符串，？为占位符

--     用@nid1，和@nid2填充占位符

        EXECUTE myprod USING @nid1,@nid2;

    DEALLOCATE prepare myprod; 

END\\

delimiter ;

set @nid1=12;

set @nid2=15;

set @callsql = 'select * from tb7 where nid>? and nid<?';

CALL proc_sql(@nid1,@nid2,@callsql)

调用存储过程