2012-07-01 67 views

回答

3

使用error_reporting(0)是很危險的;你隱藏的警告可能給搖搖欲墜的編碼提供重要線索。同時它不會阻止SQL注入問題或xss。

我的建議是:設定error_reporting(-1)在任何時候,無論是使用error_log記錄所有錯誤或使用set_error_handler()處理的錯誤而不顯示在網頁上寫custom error handler。在開發過程中,您應始終啓用display_errors

請注意,只有良好的編碼實踐和正確的測試才能減輕黑客攻擊,但完全防止黑客攻擊需要更多。採取防禦性編程或者請教Bernstein來輔導你;-)

1

通過執行error_reporting(0),您只能隱藏用戶的錯誤。在某些情況下,儘量減少黑客行爲但不是XSS攻擊可能會有所幫助。