有一个 Web 应用程序可以捕获服务器错误并将它们报告给管理员,以便解决错误。这些错误是在较低级别、守护进程等中发生的事情的结果;离 web 层不远。有时,失败的 SQL 语句会冒泡到错误页面,从而暴露一些数据库模式。
报告页面的 URI 与暴露的错误之间没有关联。如果我理解正确,我认为这意味着避免了 SQL 注入的问题,因为没有用于注入的 Web 路径,但想确认一下。
可以访问这些报告的用户也可以登录到服务器本身并访问有问题的数据库,所以如果我们真的想知道架构是什么,我们有办法查看它。
在这种情况下是否需要考虑安全风险?