php安全配置之隐藏你的php运行错误信息不要泄漏你的可能风险

16-01-08 来源：[db:作者]

收藏我要投稿

php开发过程中，php执行的语法或相关错误信息，都会很友好的在前台web界面下进行展示，在你完成开发工作后，正常的流程，经过测试，应该是不会出现php错误相关提示信息的。但是有些非法人员通过非正常流程访问你的网站，以通过不正当的php错误信息，来获取你的网站相关安全风险。
所以在上线后的产品上，我们一定要加强此错误信息的防范。
针对这种情况，我们该如何处理呢？it动力来帮助大家分析此问题的解决方案，
首页：关闭前台web显示的php运行错误信息，
打开php.ini配置文件，找到其中的：

C/C++ Code复制内容到剪贴板

display_errors = On  

修改为：

C/C++ Code复制内容到剪贴板

display_errors = Off  

当然，你关闭了线上的php错误信息，就不知道线上产品php执行错误时的语句是什么原因引起的了，这是可以很大程序上防止黑客进行恶意尝试的方法，但是我们如果自己人想调试呢？（我们建议本地进行测试，但是总有万不得已的时候），我们可以让php的错误，写入到一个错误文件里，这样我们就比较好方便的查看错误信息了，而且也不会给前台带来相关的错误信息，具体设置如下：
打开php.ini配置文件，查找：

C/C++ Code复制内容到剪贴板

error_log =

和

C/C++ Code复制内容到剪贴板

log_errors = Off  

分别修改为：
error_log = /var/log/php-error.log
log_errors = On
其中error_log的意思是：
将错误日志记录到哪个文件中。该文件必须对Web服务器用户可写。

syslog 表示记录到系统日志中(NT下的事件日志, Unix下的syslog(3))

如果此处未设置任何值，则错误将被记录到Web服务器的错误日志中。

log_errors指是否在日志文件里记录错误，具体在哪里记录取决于error_log指令。

强烈建议你在最终发布的web站点时使用日志记录错误而不是直接输出，

这样可以让你既知道那里出了问题，又不会暴露敏感信息。

点击复制链接与好友分享!回本站首页

php安全配置之隐藏你的php运行错误信息 不要泄漏你的可能风险

php安全配置之隐藏你的php运行错误信息不要泄漏你的可能风险