如果我只是在我的网站上禁用错误报告,我是否可以安全地发现我的SQL数据库中的信息?
另外,这会完全阻止XSS攻击吗?
答案 0 :(得分:1)
禁用错误报告永远不是一个好主意。您应该停用display_errors()并启用log_errors()。
这也与XSS无关。对XSS有帮助的是使用htmlspecialchars()。
答案 1 :(得分:1)
关闭错误报告是为了防止数据库注入/ XSS攻击,因为闭上眼睛是为了防止被抢劫。 Nothing 保护您免受攻击,例如实际通过您的代码并手动掩盖每个单独的安全风险(无论是黑名单exec() - 类型命令,使用准备好的语句,超时,那些太多 - 失败尝试计数器,无论它是什么)。