Python里到底怎么才能拿到那个数据库游标对象，操作起来又有哪些坑要注意呢

直接拿到数据库游标对象，在Python里其实就几步路，但每一步都可能藏着点小麻烦，咱们用最常见的sqlite3和pymysql（针对MySQL）来当例子,把过程掰开揉碎了说。

第一步：先连接，再拿游标

你想操作数据库，总得先跟它建立联系，这就是连接对象（Connection）的活儿，连接成功了，你才能向数据库要一个游标对象（Cursor），游标，你可以把它想象成你的“手”，或者一个“指针”，有了这只手，你才能去执行SQL命令,去抓取数据。

• 怎么拿连接？

  • SQLite：因为它是个文件数据库，最简单，根据Python官方文档（来源：Python官方文档 sqlite3 模块），你直接用 sqlite3.connect('数据库文件路径.db') 就行。conn = sqlite3.connect('example.db')。
  • MySQL：需要用第三方库，比如pymysql，根据pymysql的文档（来源：PyPI pymysql 文档），你得提供主机名、用户名、密码、数据库名这些信息：pymysql.connect(host='localhost', user='root', password='your_password', database='test_db')。

• 这里有个常见的坑：连接用完没关。 你开了一个连接，它就会占用数据库的资源，如果你写个程序，不停地开新连接但从来不关，数据库可能会扛不住，最终报错说“连接数太多了”。最好的习惯是使用 with 语句,像这样：

  with sqlite3.connect('example.db') as conn:
      # 在这个代码块里使用conn
      cursor = conn.cursor()
      # ... 操作数据库
  # 出了这个块，连接会自动关闭，省心又安全

  如果不方便用with，那一定要记得在最后手动调用 conn.close()。

  

第二步：从连接对象那里取得游标

拿到连接对象conn后,获取游标就一句话的事：

cursor = conn.cursor()

这一步通常没啥大坑。

第三步：用游标执行SQL操作

这是核心步骤，用游标的 .execute() 方法。

cursor.execute("SELECT * FROM users WHERE id = ?", (user_id,))

注意看，这里有个超级重要的坑：绝对不要用字符串拼接的方式来传参数！

• 大坑：SQL注入攻击 如果你像下面这样写，就非常危险：

  # 危险！千万别这么写！
  sql = "SELECT * FROM users WHERE id = " + user_input
  cursor.execute(sql)

  如果user_input是用户输入的，比如他输入了 1; DROP TABLE users; --，你的SQL语句就变成了 SELECT * FROM users WHERE id = 1; DROP TABLE users; --，这可能会直接删掉你的整个用户表！ 必须使用上面例子里的参数化查询，用问号 （SQLite和MySQL的pymysql都用这个）或者 %s（pymysql常用）作为占位符，然后把参数作为一个元组传进去，数据库驱动库会帮你安全地处理参数,防止SQL注入。

第四步：处理执行结果

执行完查询（比如SELECT）后,你需要从游标里拿数据。

• 怎么拿？

  

  • cursor.fetchone()：取下一行。
  • cursor.fetchall()：取所有行。
  • cursor.fetchmany(size)：取指定行数的数据。

• 这里又有个坑：数据量太大可能撑爆内存。 如果你对一个有几百万行数据的表执行SELECT *，然后直接调用fetchall()，Python会试图把所有数据一下子都加载到内存里，你的程序可能会因为内存不足而崩溃。 正确的做法是流式处理，比如用循环一次次地fetchone()，或者用fetchmany指定一个合适的批次大小（比如1000行），处理完一批再要下一批，游标本身就像一个迭代器，你也可以直接 for row in cursor: 来逐行处理,这样内存压力小很多。

第五步：提交事务和关闭游标

• 事务的坑： 当你执行了INSERT、UPDATE、DELETE这些会修改数据的操作后，这些修改并不会立刻真正保存到数据库里，它们只是在一个“事务”中，你必须调用连接对象的 conn.commit() 方法，修改才会生效，如果你忘了提交，程序一结束，所有修改就都丢失了，这是一个非常常见的疏忽。 反过来，如果操作过程中出错了，你应该调用 conn.rollback() 回滚事务，放弃所有未提交的修改，保证数据一致性。 同样，使用with语句管理连接时，通常需要在退出时显式commit,或者根据情况设置自动提交。

• 游标关不关？ 游标也会占一点资源，好的习惯是用完就关：cursor.close()，如果连接都关闭了，它对应的游标一般也会失效,但显式关闭是个更严谨的好习惯。

总结一下主要的坑：

1. 连接泄漏：用完连接不关闭，用with语句可以完美避免。
2. SQL注入：绝对避免字符串拼接SQL,坚持使用参数化查询。
3. 内存爆炸：处理大数据集时，别用fetchall()，要用迭代或fetchmany。
4. 忘记提交：修改数据后，记得conn.commit(),否则更改会丢失。
5. 异常处理：数据库操作很容易出错（网络问题、SQL语法错误等），最好用 try...except... 把核心操作包起来，在except块里进行回滚(rollback),确保出错时数据不会错乱。

把这些点都注意到了，你在Python里操作数据库游标就能避开大部分麻烦,变得顺风顺水。