SQL查詢不進行注射，但

Question

有時我得到這個在我的網絡服務器日誌：

[09日 - 12月2012 15時35分45秒歐洲/柏林] PHP的警告：請求mysql_query（）函數。 MySQL的查詢]：訪問被拒絕 用戶 '根' @ '本地主機'（使用密碼：否）在/bar/foo.php上 線4

線4是：

$sql=mysql_query("select * from mytablefoo ORDER BY id DESC LIMIT 9"); 

我t看起來像有人試圖使用默認的根用戶名登錄。 任何方式來防止這種情況，即使它不是有害的？ 他如何設法通過該行代碼進行連接？

感謝

Answer 1

這裏是我認爲正在發生的事情。

您有一頁（例如：index.php），其中包含第二頁（例如：/bar.foo.php）。在index.php，你讓主連接：

<?php 
// index.php 
// ... 
$db = mysql_connect($db, $username, $password); 
// ... 

在第二頁，你做一些功能：

<?php 
// /bar/foo.php 
// ... 
mysql_query("select * from mytablefoo ORDER BY id DESC LIMIT 9"); // TODO: use mysqli or PDO here 
// ... 

然而，沒有數據庫連接，如果你直接訪問第二個文件，所以它會嘗試使用默認憑據進行連接，失敗並引發錯誤。

如果你想防止這一點，那麼你需要保護你的網站。我的猜測是，你的/bar文件夾中永遠不應該有人被允許。您可以通過將.htaccess文件添加到此文件夾來防止人們進入該文件夾。

.htaccess文件讓您控制用戶如何與您網站上的文件進行交互。只需創建一個新的文本文件，並將其保存爲.htaccess（該文件在.之前沒有任何內容）。

把你/bar文件夾內文件，並把下面的文字裏面的文件：現在

deny from all 

，如果有人試圖對這個文件夾直接訪問，他們將看到一個403錯誤訊息。 PHP文件仍然可以被其他頁面包含。

您可以瞭解更多關於.htaccess這裏：

http://perishablepress.com/stupid-htaccess-tricks/

Answer 2

的mysql_query()函數試圖連接到使用，如果沒有連接已尚未建立默認的用戶名和密碼（在php.ini configued）MySQL服務器。這是因爲它應該運行查詢，並且如果尚未調用mysql_connect()，則它不能。

這裏唯一錯誤的是PHP代碼。在多個級別btw ..這些天應該使用mysqli或PDO。

Answer 3

的mysql_query是一直沒有連接回落到默認值在php.ini連接（做的phpinfo（）;看看這些）

的默認值是無法連接到根目錄，並給予該錯誤。

同意長庚富庫MySQLi使用或PDO

Answer 4

using password: NO意味着你有沒有密碼。 嘗試去管理員和設置密碼，那麼它將是: YES。 或使指定密碼到root

爲對方表示使用PDO或mysqli的

Answer 5

此錯誤意味着該文件正試圖而不在這種情況下，正確的權限來訪問你的數據庫，全部採用默認值，沒有任何密碼）。

我猜測你的數據庫憑證存儲在另一個文件中。你可能會引用此文件是這樣的：

include($_SERVER['DOCUMENT_ROOT'] . '/filepath/db.php'); 

我知道一個事實，即$_SERVER陣列部分通過訪問您的網站用戶填充。這意味着其中一些變量可能是空的或者被篡改。例如，當通過CRON Job激活頁面時，該特定變量將爲空。

IIRC，也可以通過訪問網站的IP地址而不是域名（即：http://192.168.0.1/bar/foo.php而不是http://example.com/bar/foo.php）來操縱這個數組。

您可以解決此通過使用__FILE__變量，而不是$_SERVER['DOCUMENT_ROOT'];