在ajax中返回php异常消息安全吗

我们在项目中抛出的异常包含存储过程和类的名称。有时它们包含表的名称，但我们应该捕获任何其他关键信息。在ajax中处理异常的防弹方法是只使用ajax发送错误代码，但是作为程序员，如果在ajax中传递消息（通过网络面板可以看到消息），则调试和维护代码要容易得多

---

大型项目中的最佳实践是什么？

不幸的是，没有调试语句。看 不过，关于如何实现一个项目范围的解决方案来区分代码中的调试和生产，还有一些讨论，事实上，您应该同时考虑性能（外观）和安全性

---

攻击者肯定希望获得有关数据库和实现实践的一些信息。例如，表名和字段将为他提供在UNION sql注入查询中需要使用的字段数。

SANDBOX env.=send message，PRODUCTION=您可以将其登录到dev系统上的文件中，请确保：让开发人员更轻松。这就是重点。但是在生产系统上，没有。不要让开发人员容易，因为黑客也是开发人员。很容易进行设置，使开发系统显示原始错误，而prod系统不显示原始错误。顺便说一句，为了增加开发人员的威风，您应该查看FireHP，它允许您将PHP代码中的消息直接发送到浏览器的控制台。在转入生产时也需要关闭，但这对于开发人员的工作来说是非常好的。酷！我们需要使用它的主要时间是用于异常（而不是在编写代码时进行调试），这就是问题所在，因为人们在测试服务器+生产中进行qa，当异常发生时，能够检查网络选项卡上的异常消息非常有用。在这种情况下，更大的问题不是有人可以首先进行SQL注入吗？当然，但是SQL注入始终是一个问题，无论你做什么。但是，并不总能找到现有的注入点。许多漏洞攻击都需要表的列数或某些此类信息。只要看看sqlmap工具的执行，以及它的选项，您就会发现大多数迭代都是相同的sql注入技术，具有不同的选项。另外，您不应该放弃dbms技术或您正在使用的任何其他技术。大多数攻击都是从谷歌搜索特定技术的漏洞开始的。