0
A
回答
1
关闭错误报告是为了防止数据库注入/ XSS攻击,因为闭上你的眼睛就是防止被抢劫。 Nothing可以保护您免受像实际通过您的代码一样的攻击,并且可以手动涵盖每项安全风险(无论是黑名单exec()
-类型的命令,使用准备好的语句,超时,那些太多的失败尝试计数器,无论它可能是)。
1
禁用错误报告永远不是一个好主意。您应该禁用display_errors()
并启用log_errors()
。
另外这与XSS无关。对XSS有什么帮助是使用htmlspecialchars()
。
相关问题
- 1. 我们是否仍需要担心用户关闭Cookie?
- 2. 我是否需要担心Valgrind在我的应用程序范围之外报告错误?
- 3. 开发人员是否可以不必担心服务器配置?我们应该担心这个吗?
- 4. jQuery - 我看不到任何错误
- 5. 如果我支持最低API 14,我不必担心什么屏幕密度?
- 6. Resharper是否不必要地警告我关于访问修改的关闭?
- 7. 担心SQL注入。我的代码是否正确?
- 8. 我是否需要担心阻塞任务?
- 9. 我是否应该担心我的软件被反编译?
- 10. PHP错误报告关闭
- 11. 关闭php关闭错误报告
- 12. 我是否必须担心与Doctrine2 EntityManagers的多个实例不一致?
- 13. 我如何使BugSnag报告404错误
- 14. OLEDB SQL语法错误,我看不到
- 15. 我们是否必须使用事实表来报告?
- 16. 我jquery.cookie.js报告错误
- 17. 我应该担心有关Ruby 1.8.7的RVM警告吗?
- 18. 任何人都看到我的问题?
- 19. 希望看到SQL错误报告
- 20. 如果我不是报告的所有者,我如何将SSRS报告复制到新服务器
- 21. 任何人都可以告诉我他们是否在以下PHP代码中看到错误?
- 22. 我看不到java.lang.NullPointerException错误
- 23. Sonarqube无法看到我的cppunit报告
- 24. MySQL报告语法错误,但我没有看到它?
- 25. 我在我的SQL查询中看不到错误
- 26. 任何人都知道为什么这个UNION给了我一个错误,我没有看到任何错误
- 27. SQL语法错误,我是否错误?
- 28. 有人可以看看我的代码,并告诉我什么是错的?
- 29. 我在使用stimulsoft报告中的关系时遇到错误
- 30. 我何时需要担心JavaScript中的浮点错误?
这些项目是不相关的。尽管您可以通过错误报告泄露敏感数据。把它关掉并不能保护你免受SQL INjection,XSS,CSRF等的影响。 – 2012-07-26 17:03:02
我不知道(因此评论答案),但我几乎可以保证你没有什么可以做的,这样你就不用担心了关于安全问题。他们总是一个问题。另外,关闭错误报告通常是一个糟糕的主意。 – KRyan 2012-07-26 17:03:05