0

我已经读过在生产服务器上显示 php 中的错误消息是一种安全风险。您能否展示此类错误消息的示例以及它如何容易受到攻击

4

1 回答 1

3

这是因为 error_message 可能包含潜在的敏感信息,例如

  1. 服务器上的路径信息
  2. 有关您的数据库结构的信息(表名等)
  3. 有关您正在使用的软件及其内部工作的信息(您正在使用什么 CMS 软件、哪个版本等...)
  4. 变量名
  5. 有关您正在使用的潜在风险 PHP 扩展的信息

(待延长)

简而言之,远程用户可能会获得他不需要的信息。此信息可能对攻击感兴趣。但它更多地是关于潜在的。

或者换句话说,当您禁用错误消息的显示时,您修复了潜在的安全风险

于 2013-01-18T07:17:31.963 回答