0
A
回答
1
关闭错误报告是为了防止数据库注入/ XSS攻击,因为闭上你的眼睛就是防止被抢劫。 Nothing可以保护您免受像实际通过您的代码一样的攻击,并且可以手动涵盖每项安全风险(无论是黑名单exec()-类型的命令,使用准备好的语句,超时,那些太多的失败尝试计数器,无论它可能是)。
1
禁用错误报告永远不是一个好主意。您应该禁用display_errors()并启用log_errors()。
另外这与XSS无关。对XSS有什么帮助是使用htmlspecialchars()。
相关问题
- 1. 我们是否仍需要担心用户关闭Cookie?
- 2. 我是否需要担心Valgrind在我的应用程序范围之外报告错误?
- 3. 如果我支持最低API 14,我不必担心什么屏幕密度?
- 4. Resharper是否不必要地警告我关于访问修改的关闭?
- 5. PHP错误报告关闭
- 6. 我是否需要担心阻塞任务?
- 7. 我是否应该担心我的软件被反编译?
- 8. 希望看到SQL错误报告
- 9. 如果我不是报告的所有者,我如何将SSRS报告复制到新服务器
- 10. 任何人都看到我的问题?
- 11. 我应该担心有关Ruby 1.8.7的RVM警告吗?
- 12. 我看不到java.lang.NullPointerException错误
- 13. 我在我的SQL查询中看不到错误
- 14. 任何人都知道为什么这个UNION给了我一个错误,我没有看到任何错误
- 15. SQL语法错误,我是否错误?
- 16. 我何时需要担心JavaScript中的浮点错误?
- 17. 灯塔报告表明,我START_URL心不是缓存
- 18. 我不断收到在我的链表我打印funtion错误,我不知道这些错误告诉我
- 19. 我的sql查询中是否有任何错误?
- 20. 如果我愿意关闭连接,如何通过分块的http repsonse中途报告错误?
- 21. 如果我使用“Local \”,是否需要担心CreateMutex的拒绝服务?
- 22. 我得到了c#表单错误,现在我看不到我的任何对象
- 23. PHP mail()错误;我看不到看!
- 24. 我必须关闭FileInputStream吗?
- 25. 我在TeamCity列表中看不到 - 倾城报告生成
- 26. 报告查看器不显示我分配的报告
- 27. 我的应用程序关闭时没有任何警告或错误消息
- 28. 关闭力量的错误报告 - 在我的手机上工作
- 29. 如果我使用Google Closure,是否需要担心绝对平等?
- 30. 如果我在打开的simpleTogglePanel中给出&&条件,我会收到错误。任何人都可以纠正我
这些项目是不相关的。尽管您可以通过错误报告泄露敏感数据。把它关掉并不能保护你免受SQL INjection,XSS,CSRF等的影响。 – 2012-07-26 17:03:02
我不知道(因此评论答案),但我几乎可以保证你没有什么可以做的,这样你就不用担心了关于安全问题。他们总是一个问题。另外,关闭错误报告通常是一个糟糕的主意。 – KRyan 2012-07-26 17:03:05