超级会员免费看
错误报告在PHP开发中既是调试助手也可能成为安全隐患。攻击者通过错误信息获取系统信息,暴露弱点。为防止这种情况,开发者应检查代码,避免错误显示,可使用error_reporting(E_ALL)在开发阶段检查变量误用,正式发布时关闭错误报告或设置display_errors为off,并开启log_errors记录错误到指定文件。
PHP:错误报告
对于 PHP 的安全性来说错误报告是一把双刃剑。一方面可以提高安全性,另一方面又有害。
攻击系统时经常使用的手法就是输入不正确的数据,然后查看错误提示的类型及上下文。这样做有利于攻击者收集服务器的信息以便寻找弱点。比如说,如果一个攻击者知道了一个页面所基于的表单信息,那么他就会尝试修改变量:
示例 #1 用自定义的 HTML 页面攻击变量
<form method="post" action="attacktarget?username=badfoo&password=badfoo">
<input type="hidden" name
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
