0
A
回答
1
關閉錯誤報告是爲了防止數據庫注入/ XSS攻擊,因爲閉上你的眼睛就是防止被搶劫。 Nothing可以保護您免受像實際通過您的代碼一樣的攻擊,並且可以手動涵蓋每項安全風險(無論是黑名單exec()
-類型的命令,使用準備好的語句,超時,那些太多的失敗嘗試計數器,無論它可能是)。
1
禁用錯誤報告永遠不是一個好主意。您應該禁用display_errors()
並啓用log_errors()
。
另外這與XSS無關。對XSS有什麼幫助是使用htmlspecialchars()
。
相關問題
- 1. 我們是否仍需要擔心用戶關閉Cookie?
- 2. 我是否需要擔心Valgrind在我的應用程序範圍之外報告錯誤?
- 3. 開發人員是否可以不必擔心服務器配置?我們應該擔心這個嗎?
- 4. jQuery - 我看不到任何錯誤
- 5. 如果我支持最低API 14,我不必擔心什麼屏幕密度?
- 6. Resharper是否不必要地警告我關於訪問修改的關閉?
- 7. 擔心SQL注入。我的代碼是否正確?
- 8. 我是否需要擔心阻塞任務?
- 9. 我是否應該擔心我的軟件被反編譯?
- 10. PHP錯誤報告關閉
- 11. 關閉php關閉錯誤報告
- 12. 我是否必須擔心與Doctrine2 EntityManagers的多個實例不一致?
- 13. 我如何使BugSnag報告404錯誤
- 14. OLEDB SQL語法錯誤,我看不到
- 15. 我們是否必須使用事實表來報告?
- 16. 我jquery.cookie.js報告錯誤
- 17. 我應該擔心有關Ruby 1.8.7的RVM警告嗎?
- 18. 任何人都看到我的問題?
- 19. 希望看到SQL錯誤報告
- 20. 如果我不是報告的所有者,我如何將SSRS報告複製到新服務器
- 21. 任何人都可以告訴我他們是否在以下PHP代碼中看到錯誤?
- 22. 我看不到java.lang.NullPointerException錯誤
- 23. Sonarqube無法看到我的cppunit報告
- 24. MySQL報告語法錯誤,但我沒有看到它?
- 25. 我在我的SQL查詢中看不到錯誤
- 26. 任何人都知道爲什麼這個UNION給了我一個錯誤,我沒有看到任何錯誤
- 27. SQL語法錯誤,我是否錯誤?
- 28. 有人可以看看我的代碼,並告訴我什麼是錯的?
- 29. 我在使用stimulsoft報告中的關係時遇到錯誤
- 30. 我何時需要擔心JavaScript中的浮點錯誤?
這些項目是不相關的。儘管您可以通過錯誤報告泄露敏感數據。把它關掉並不能保護你免受SQL INjection,XSS,CSRF等的影響。 – 2012-07-26 17:03:02
我不知道(因此評論答案),但我幾乎可以保證你沒有什麼可以做的,這樣你就不用擔心了關於安全問題。他們總是一個問題。另外,關閉錯誤報告通常是一個糟糕的主意。 – KRyan 2012-07-26 17:03:05