如果我只是在我的网站上禁用错误报告,我是否可以避免任何人发现我的 SQL 数据库中的信息?
另外,这会完全防止 XSS 攻击吗?
问问题
189 次
2 回答
1
禁用错误报告从来都不是一个好主意。您应该禁用display_errors()和启用log_errors().
这也与XSS无关。有助于对抗 XSS 的是使用htmlspecialchars().
于 2012-07-26T17:03:08.373 回答
1
关闭错误报告是为了防止数据库注入/XSS 攻击,因为闭上眼睛是为了防止被抢劫。没有什么可以保护您免受攻击,例如实际检查您的代码并手动掩盖每个单独的安全风险(无论是黑名单exec()类型的命令,使用准备好的语句,超时,那些太多失败的尝试计数器,无论它可能是)。
于 2012-07-26T17:06:24.967 回答