从（PHP）流包装器错误消息中移除密码？

Question

在生产服务器上，错误输出无疑是常规问题。不过，我感觉心惊肉跳，当我看到连我的dev的屏幕上像这样的错误消息：

stat(): stat failed for ftp://user:pass@127.0.0.1:21/dir-de-nada 

这是一类我周围的ftp://流写的情况下。当然PHP不能过滤任何位置的密码。但在这种情况下（如URL封装和其他任何地方），密码的存在是标准和明显的。

我已经在捕捉错误。然而，我发现自己想知道是否需要自己动手编写这些代码，只是为了在所有情况下都安全起见，或者我可以让PHP自动和全局地执行这些操作。（这里就是这个问题。）我猜测没有，但是在这里的探索中没有任何伤害。

至于我担心什么，它只在我的开发屏幕上。但是，错误报告也可能与网站管理员等有关，他们可能不需要知道FTP密码。让FTP密码脱机进入错误日志不是一件值得关注的问题，而是将其保存到数据库中的报告等 - 我真的不希望这类信息随时随地传播，原因很明显。预防指针好吗？

如果有人觉得在保持PHP脱离密码等敏感信息的任何情况下，这也是值得欢迎的。除了“不输出任何东西”。

---

编辑：更好的选择之前，我的错误和异常处理的消息部分现在运行此：

$msg = preg_replace('#((ftp|http)://)([^@]+?)@#', '$1*:*@', $msg); 

如果使用SSH2流工作，在正则表达式的情况下，增加对ssh2\.(shell|exec|sftp|scp)关注。并且，如果您使用显示参数的堆栈轨迹，则可以对其进行清理。

---

EDIT2：在与PHP的FTP流上下文包装经验的备忘。

1. 如果有任何失败的请求，给出重复的脚本超时，尤其会执行糟糕的操作。
2. 流回调（在create_stream_context/$param['notification']中定义）主要记录空白/部分，而不是来自FTP服务器的完整响应。
3. 使用流上下文的文件系统函数可能会或可能不会返回适当/一致的错误，或记录任何回调。 （如果有人想要故障的细分，请去问）
4. 似乎没有持久连接的选项：即使我回收了stream_context_create资源，PHP也会在同一脚本中为每个filesys调用重新登录。

假设FTP流上下文适用于一次性基本事务，但是对于尝试在一次去做更多事情方面没有问题，感觉有点像不成熟的ALT。用于filesys功能的装备。下一个...

Answer 1

我认为在stream context中有一个可以配置用户名和密码的参数，但这是not an option。

您可以通过使用不使用URI的API（FTP或Curl）来避免此问题，但这确实意味着更详细的代码。

在生产系统上禁用错误报告肯定是一项要求。但是启用自己的错误处理程序（在开发/测试以及生产环境中具有特定的功能）提供了一个额外的保护层。

试图篡改输出流以控制错误消息的内容是非启动器。但是它在你的错误处理器中当然是一个好主意。你为什么在你的正则表达式中使用硬编码方案？

#(([a-zA-Z]+)://)([^@]+?)@#