向普通用户显示mysqli_errno是否被认为是安全的?
向普通用户显示mysqli_errno是否被认为是安全的?
提问于 2017-02-21 16:20:12
我想用mysqli_errno()将MySQL错误号发送到一个页面,告诉用户‘如果这种情况仍然存在,请将此代码发送给网站所有者电子邮件@example.com’。
我看过一堂课,展示了如何将mysqli_error()消息抛出到错误页面,但我不希望用户看到描述性文本,只希望看到代码。
这个安全吗?
显示MySQL错误代码不会威胁到我的站点的安全性吗?
我想从错误代码中获益来解决这个问题。你有没有其他的建议?
回答 1
Stack Overflow用户
回答已采纳
发布于 2017-02-22 00:07:22
不要这样做。暴露你的服务器的基础设施的细节是一个安全缺陷。如果攻击者知道您正在使用mysql,他们可能会尝试利用mysql进行攻击。最好对此信息保密。
相反,您应该为您的客户端创建一个服务接口,它们可以登录以读取其错误日志。您可以为每个错误( guid )生成唯一的id,并将错误保存在由相同guid键入的数据库中。然后,您可以以某种方式将该guid返回给客户端(例如,作为标头)。您的客户端可以获得它,并使用您的管理/错误服务来查询数据库,以获得与该id相关的错误。
我知道这听起来很复杂,但是安全性是很复杂的。有一些方法可以简化这一过程--例如COTS工具,但它们基本上都遵循这种模式。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/42362008
复制相关文章
相似问题
腾讯云开发者
