PHP防止错误信息显示暴露,影响安全的解决办法

最新推荐文章于 2023-10-20 17:58:07 发布
最新推荐文章于 2023-10-20 17:58:07 发布
阅读量1.9k 收藏 1
点赞数
文章标签: php mysql user 脚本 function callback

http://www.w3school.com.cn/php/func_error_set_error_handler.asp

错误路径泄露
1.漏洞原因:
PHP遇到错误时,就会给出出错脚本的位置、行数和原因,例如:
Notice: Use of undefined constant test - assumed ''test'' in D:interpubbigflytest.php on line 3
有很多人说,这并没有什么大不了。但泄露了实际路径的后果是不堪设想的,对于某些入侵者,这个信息可是非常重要,而事实上现在有很多的服务器都存在这个问题。
有些网管干脆把PHP配置文件中的display_errors设置为Off来解决,但本人认为这个方法过于消极。有些时候,我们的确需要PHP返回错误的信息以便调试。而且在出错时也可能需要给用户一个交待,甚至导航到另一页面。
2.漏洞解决:
PHP从4.1.0开始提供了自定义错误处理句柄的功能函数set_error_handler(),但很少数脚本编写者知道。在众多的PHP论坛中,我只看见很少一部分对此情况进行了处理。set_error_handler的使用方法如下:
string set_error_handler ( callback error_handler [, int error_types])
现在我们就用自定义的错误处理把实际路径过滤掉。
//admin为管理员的身份判定,true为管理员。
//自定义的错误处理函数一定要有这4个输入变量$errno,$errstr,$errfile,$errline,否则无效。
function my_error_handler($errno,$errstr,$errfile,$errline)
{
//如果不是管理员就过滤实际路径
if(!admin)
{
$errfile=str_replace(getcwd(),"",$errfile);
$errstr=str_replace(getcwd(),"",$errstr);
}
switch($errno)
{
case E_ERROR:
echo "ERROR: [ID $errno] $errstr (Line: $errline of $errfile)
n";
echo "程序已经停止运行,请联系管理员。";
//遇到Error级错误时退出脚本
exit;
break;

case E_WARNING:
echo "WARNING: [ID $errno] $errstr (Line: $errline of $errfile)
n";
break;

default:
//不显示Notice级的错误
break;
}
}

//把错误处理设置为my_error_handler函数
set_error_handler("my_error_handler");

这样,就可以很好地解决安全和调试方便的矛盾了。而且你还可以花点心思,使错误提示更加美观以配合网站的风格。不过注意两点是:
(1)E_ERROR、E_PARSE、E_CORE_ERROR、E_CORE_WARNING、E_COMPILE_ERROR、E_COMPILE_WARNING是不会被这个句柄处理的,也就是会用最原始的方式显示出来。不过出现这些错误都是编译或PHP内核出错,在通常情况下不会发生。
(2)使用set_error_handler()后,error_reporting ()将会失效。也就是所有的错误(除上述的错误)都会交给自定义的函数处理。
其它有关于set_error_handler()的信息,大家可以参考PHP的官方手册。

下面我举个实际应用中的例子:
<index.php>
<?php
//先定义一个函数,也可以定义在其他的文件中,再用require()调用
function myErrorHandler($errno, $errstr, $errfile, $errline)
{
     //为了安全起见,不暴露出真实物理路径,下面两行过滤实际路径
    $errfile=str_replace(getcwd(),"",$errfile);
    $errstr=str_replace(getcwd(),"",$errstr);

    switch ($errno) {
    case E_USER_ERROR:

     echo "<b>My ERROR</b> [$errno] $errstr<br />/n";
        echo "  Fatal error on line $errline in file $errfile";
        echo ", PHP " . PHP_VERSION . " (" . PHP_OS . ")<br />/n";
        echo "Aborting...<br />/n";
        exit(1);
        break;

    case E_USER_WARNING:
        echo "<b>My WARNING</b> [$errno] $errstr<br />/n";
        break;

    case E_USER_NOTICE:
        echo "<b>My NOTICE</b> [$errno] $errstr<br />/n";
        break;

    default:
        echo "Unknown error type: [$errno] $errstr<br />/n";
        break;
    }

    /* Don't execute PHP internal error handler */
    return true;
}

//下面开始连接MYSQL服务器,我们故意指定MYSQL端口为3333,实际为3306。
$link_id=@mysql_pconnect("localhost:3333","root","password");
set_error_handler(myErrorHandler);
if (!$link_id) {
    trigger_error("出错了", E_USER_ERROR);
    }

?>

blacksky115
关注
php错误信息泄露怎么处理方法,PHP str_getcsv()函数中断处理地址信息泄露漏洞
weixin_35432846的博客
03-10 161
<?phpclass dummy{function __toString(){/* now the magic */parse_str("xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=1", $GLOBALS['var']);return "XXXXXXXXXXXXXXX";}}/* Detect 32 vs 64 bit */$i = 0x7fffffff;$...
php显示地址栏携带的错误信息_修复网站提示PHP错误信息泄露的方法及代码
weixin_39871162的博客
12-06 307
今天想看看站点是否安全,于是用360网站漏洞检测网站:http://webscan.360.cn 扫描站点,发现网站检测出了 PHP错误信息泄露 漏洞,危险级别为高危。看到高危两个字,心里就不淡定了。马上到搜索引擎搜索答案并参考了360官方给出的解决方案,经过不断的修复扫描,终于解决了。下面小编就把解决的方法告诉大家,希望能对各位站长有用。提示PHP错误信息泄露,得分极低。 出现此问题的原因是通...
php报错语句,php防止报错的方法
weixin_39902870的博客
03-10 232
php防止报错的方法发布时间:2020-08-13 10:01:43来源:亿速云阅读:63作者:小新小编给大家分享一下php防止报错的方法,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!php防止报错的设置方法:1、在错误语句之前加上“@”符号;2、在php文件开始之前,加入语句为“error_reporting(0)”;...
php配置信息泄露危害,ThinkPHP使用不当可能造成敏感信息泄露
weixin_35439783的博客
04-01 520
ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多站都没关的,所以影响应该很大吧我们来看一下ThinkPHP3.2版本生成日志结构:THINKPHP3.2 结构:Application\Runtime\Logs\Home\16_09_09.logTHINKPHP3.1结构:Runtime\Logs\Home\16_09_09.log可以看到是 :项目名\R...
php中display_errors的坑
qq_26312651的博客
04-18 9135
问题描述: 公司线上出现一个问题:后端的服务是nginx+php模式,php程序已经内存溢出了,但是通过nginx访问的时候,返回的还是HTTP 200 OK。 问题原因: 经过查阅资料发现,在php-fpm的运行模式下,错误信息显示是和php的配置display_errors有关。 关于display_errors的配置有三处,分别为php-fpm.conf,php.ini以及程序里通过ini...
PHP语言开发常见问题解决办法入门总结.docx
最新发布
03-26
- 生产环境中,则应该关闭错误显示并记录到日志文件中,以避免向最终用户暴露敏感信息。 - **示例代码**: ```php try { $result = 10 / 0; // 触发异常 } catch (Exception $e) { error_log($e->getMessage...
信息安全技术:PHP连接MySQL数据库.pptx
11-01
- **错误处理**:避免在用户可见的地方暴露数据库错误信息,这可能泄露敏感的系统信息。 - **输入验证**:对用户提交的数据进行验证和清理,确保其符合预期格式,减少潜在的安全风险。 - **数据库备份**:定期备份...
PHP 500报错的快速解决方法
10-20
确保`display_errors`设置为`off`,以防止错误信息直接暴露给用户,而`log_errors`和`error_log`应分别设置为`on`和日志文件路径,以便将错误信息记录下来。 3. **错误级别**:在PHP中,错误级别有多种,如E_ERROR...
PHP运行时强制显示出错信息的代码
12-18
然而,在生产环境中,我们通常不希望用户看到错误信息,因为这可能暴露系统的内部细节,增加安全风险。这时,我们可以使用 `set_error_handler` 函数来自定义错误处理机制。`set_error_handler` 允许我们创建一个...
《web服务器PHP复活节彩蛋信息泄露漏洞》
weixin_47118413的博客
01-11 462
近期同事在值守时发现IPS报了个“web服务器PHP复活节彩蛋信息泄露漏洞”,做为年轻人的我,还是头一次听说,从网上查了下信息,是个很老的PHP漏洞,存在PHP版型信息泄露的风险,因此想复现下在阻止泄漏。
禁止PHP警告性错误
weixin_34167819的博客
01-28 156
2019独角兽企业重金招聘Python工程师标准>>> ...
如何防止php漏洞,关于PHP的漏洞以及如何防止PHP漏洞?
weixin_30060575的博客
03-19 370
漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露、cookie伪造、CSRF(跨站请求)等。这些漏洞不仅仅是针对PHP语言的,本文只是简单介绍PHP如何有效防止这些漏洞。1.xss + sql注入(关于xss攻击详细介绍)其中占大头的自然是XSS与SQL注入,对于框架类型或者有公共文件的,建议在公共文件中统一做一次XSS和SQL注入的过滤。用PHP写...
error_reporting
zhudagen
03-29 73
防止***根据PHP中的错误信息爆路径
weixin_34235371的博客
05-27 189
在默认的环境下.php.ini中配置错误消息有几种: 在默认的环境下.php.ini中配置错误消息有几种: Php.ini 将能够显示错误类型分为如下种类。 ; E_ALL -所有的错误和警告,(不包含E_STRICT). ; E_ERROR -致命的运行时错误 ; E_RECOVERABLE_ERROR -可由异常处理机制所捕...
phpcount数组报错_防止PHP数组遍历报错,foreach简短而安全的写法
weixin_39776991的博客
12-18 176
PHP的日常操作中,数组是最常出现的结构,而我们几乎每天都在处理数组相关的内容。那么问题来了,你一般怎么遍历并处理数组。有的人喜欢用for,这应该是超级通用的语法了,不过不推荐使用。它的效率比不上foreach。而且写法上比foreach略繁琐。$arr = ['a', 'b', 'c'];for ($i = 0; $i < count($arr); ++$i) {$arr[$i] = $...
php常见错误报警,拦截PHP各种错误和异常,发生致命异常时进行报警,万事防患于未然...
weixin_39601929的博客
03-24 146
拦截PHP各种异常和错误,发生致命错误时进行报警,万事防患于未然在日常开发中,大多数人的做法是在开发环境时开启调试模式,在产品环境关闭调试模式。在开发的时候可以查看各种错误、异常,但是在线上就把错误显示的关闭。上面的情形看似很科学,有人解释为这样很安全,别人看不到错误,以免泄露重要信息...但是你有没有遇到这种情况,线下好好的,一上线却运行不起来也找不到原因...一个脚本,跑了好长一段时间,一直没...
laravel错误web显示经常会出现将数据库账号密码暴露出来,解决方案。
xiaoqiang3146的专栏
05-17 1719
修改文件vendor/symfony/debug/ExceptionHandler.php中的getContent方法中的foreach循环注释掉如下图:然后修改下getStylesheet方法中样式文件.sf-reset .block_exception 把原来的border去掉加个border-radius:16px;然后就完美了,只有主要的错误行数和方法,没有细节,不会打印数据库账号密码。...
【漏洞挖掘】——55、 PHPINFO信息泄露检测与利用
Fly_鹏程万里
10-20 3206
PHPINFO信息泄露是指通过访问Web服务器上的PHPINFO页面获取关于PHP配置和服务器环境的敏感信息的攻击行为,PHPINFO页面是一种特殊的PHP脚本,它可以列出PHP解释器的配置信息和环境变量等详细信息,攻击者可以通过访问PHPINFO页面获取服务器的敏感信息,比如:PHP版本号、模块版本、文件路径、安装路径、操作系统版本等,这些信息可以被攻击者用于实施其他攻击行为,比如:利用已知的漏洞进行攻击或者编写定制的攻击脚本
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值