【问题标题】:Is it safe to display SQL error messages on your website? (mysqli)在您的网站上显示 SQL 错误消息是否安全? (mysqli)
【发布时间】:2018-02-18 20:49:29
【问题描述】:

我想知道在您的网站上显示 mySQL(i) 返回的错误消息(如果有的话)是否安全,或者我应该以不同的方式执行此操作吗?

我看到一些关于 MySQLi 与 PDO 的论坛争论,有人说显示 MySQLi 错误消息总是安全的,但由于这些是互联网争论,我不知道这些信息的可信度。

您能帮我解决这些问题吗? (双关语)

【问题讨论】:

  • 你知道你是在网上问这个问题吧?
  • 我在我选择的搜索引擎中搜索了“显示 SQL 错误消息是否安全”,并找到了几个令人信服的答案。
  • @YourCommonSense:用户名签出:)

标签: php mysqli error-handling


【解决方案1】:

“安全”总是相对的。

一般来说,在互联网上,最好假设您受到了讨厌您并想做坏事的人的攻击。他们会利用任何信息来伤害你。

MySQLi 消息基本上是底层引擎的错误消息,其中包含许多有用的数据,可以帮助想要伤害您的人。

显示“原始”错误消息是一种可能对您造成更大伤害的方式。 “哦——他们的磁盘空间不足了?让我们排队 7700 万个新请求。哦,看,服务器只接受 中的输入——让我们看看他们如何处理克林贡语。”

一般情况下,将详细信息放在服务器日志中,并尽可能使网站对用户友好且不具体。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2020-04-25
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-03-07
    • 2013-11-06
    • 2019-11-13
    • 1970-01-01
    相关资源
    最近更新 更多