1

在 php 脚本中使用 error_reporting(0) 是否会通过不报告错误来防止使用 SQLi 或 XSS 进行黑客攻击?

4

2 回答 2

3

使用error_reporting(0)是非常危险的;您隐藏的警告可能会为不稳定的编码提供重要线索。同时它不会阻止 SQL 注入问题或 xss。

我的建议:error_reporting(-1)始终设置并使用记录所有错误error_log或编写自定义错误处理程序set_error_handler()处理错误而不在页面上显示它们。在开发过程中,您也应该始终启用display_errors

请注意,只有良好的编码实践和适当的测试才能减轻黑客攻击,但完全防止它需要更多。采用防御性编程,或者请Bernstein辅导你 ;-)

于 2012-07-01T08:16:37.713 回答
2

通过执行 error_reporting(0) 您只能对用户隐藏错误。在某些情况下,最大限度地减少黑客攻击可能会有所帮助,但肯定不是 XSS 攻击。

于 2012-07-01T08:09:20.760 回答