我有一個簡單的網站表單,可以通過它輸入資料(姓名、地址、密碼等等——這并不重要)。我使用 jQuery ajax 呼叫將提交的資料發送到 PHP 檔案,該檔案反過來驗證資料并將其添加到資料庫中。
回傳mysqli_error()ajax 結果是否會帶來安全風險?例如,錯誤訊息可能會在控制臺日志中公開資料庫名稱或欄位名稱。
它在生產中是可以接受的還是我可以將所有錯誤發送到帶有error_log().
uj5u.com熱心網友回復:
是的,公開這些資訊會帶來安全風險。這適用于所有 PHP 錯誤,而不僅僅是 mysqli 錯誤。這就是您應該display_errors在生產中禁用的原因。
使用會mysqli_error()帶來額外的風險,因為您使用它的方式可能不遵守該指令。如果您的代碼有任何 SQL 注入,那么暴露的錯誤是最重要的。它們不僅公開代碼,還公開資料。
最好的方法是永遠不要使用此功能。只需啟用自動 mysqli 錯誤報告并將它們視為任何其他 PHP 錯誤。即使在開發中,手動檢查錯誤也是不必要和麻煩的。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/379279.html