我想知道在您的网站上显示mySQL(i)返回的错误消息(如果有的话)是否安全,或者我应该以不同方式执行此操作?
我在MySQLi vs PDO上看过一些论坛论点,有人说它显示MySQLi错误信息总是安全的,但由于这些是互联网论点,我不知道信息是多么值得信赖。
你能帮我解决这些疑问吗? (双关语)
答案 0 :(得分:3)
"安全"总是相对的。
一般来说,在互联网上,最好假设你受到仇恨你并且想要做坏事的人的攻击。他们会使用任何信息来伤害你。
MySQLi消息基本上是底层引擎的错误消息,并为想要伤害你的人提供了大量有用的数据。
显示" raw"错误信息是一种他们可以伤害你的方式。 "哦 - 他们没有磁盘空间?让我们排队7700万条新请求。哦,看,服务器只接受<>中的输入 - 让我们看看他们如何处理克林贡语。"
通常,将详细信息放在服务器日志中,并使网站尽可能用户友好且不具体。