Gestion des erreurs PHP : évitez d'exposer des informations sensibles
La gestion des erreurs est un élément très important lors du développement d'applications PHP. Une bonne gestion des erreurs peut aider les développeurs à localiser et à corriger rapidement les erreurs lorsque des problèmes de programme surviennent, améliorant ainsi la stabilité et la fiabilité des applications. Cependant, lors de la gestion des erreurs, certaines informations sensibles peuvent parfois être accidentellement exposées, telles que les informations de connexion à la base de données, les chemins de fichiers, etc. Pour protéger la sécurité de nos applications et de nos utilisateurs, nous devons éviter d'exposer ces informations sensibles.
Ce qui suit présentera quelques méthodes pour éviter d'exposer des informations sensibles dans la gestion des erreurs PHP.
Dans un environnement de production, nous devons désactiver l'affichage des messages d'erreur PHP. La désactivation de l'affichage des messages d'erreur peut empêcher les pirates d'utiliser ces informations pour mener des attaques. Nous pouvons désactiver l'affichage des erreurs dans le fichier d'entrée principal du projet :
<?php error_reporting(0); ini_set('display_errors', 0);
Après avoir défini cela, même si une erreur se produit, le message d'erreur spécifique ne sera pas affiché dans le navigateur, mais le journal des erreurs sera enregistré dans le journal spécifié dans le fichier.
En plus de désactiver l'affichage des erreurs, nous pouvons également utiliser des fonctions de gestion des erreurs personnalisées pour gérer les erreurs PHP. En capturant les informations sur les erreurs, nous pouvons écrire de manière sélective des journaux d'erreurs dans des fichiers journaux et fournir des invites d'erreur générales aux utilisateurs au lieu d'informations d'erreur spécifiques.
<?php function customErrorHandler($errno, $errstr, $errfile, $errline) { // 将错误信息写入日志文件 $log = date('Y-m-d H:i:s') . ' - ' . $errno . ': ' . $errstr . ' in ' . $errfile . ' on line ' . $errline . PHP_EOL; file_put_contents('errorlog.txt', $log, FILE_APPEND); // 提示用户发生了错误 echo '抱歉,系统出现了一些问题,请稍后再试。'; } set_error_handler('customErrorHandler');
Dans le code ci-dessus, nous enregistrons la fonction de gestion des erreurs personnalisée customErrorHandler
comme fonction de gestion des erreurs par défaut via la fonction set_error_handler
. Lorsqu'une erreur se produit, le système appellera automatiquement cette fonction pour gérer l'erreur. set_error_handler
函数将自定义的错误处理函数 customErrorHandler
注册为默认的错误处理函数。当出现错误时,系统会自动调用该函数来处理错误。
需要注意的是,我们在自定义的错误处理函数中,要避免直接将错误信息输出到用户的浏览器。因为在某些情况下,错误信息可能包含敏感信息。
除了使用错误处理函数,PHP 还提供了异常处理的机制。与错误处理函数相比,异常处理可以提供更加清晰和灵活的错误处理方式。
<?php try { // 业务逻辑代码 } catch (Exception $e) { // 将异常信息写入日志文件 $log = date('Y-m-d H:i:s') . ' - ' . $e->getMessage() . ' in ' . $e->getFile() . ' on line ' . $e->getLine() . PHP_EOL; file_put_contents('errorlog.txt', $log, FILE_APPEND); // 提示用户发生了错误 echo '抱歉,系统出现了一些问题,请稍后再试。'; }
使用异常处理时,我们可以直接通过 try...catch
En plus d'utiliser des fonctions de gestion des erreurs, PHP fournit également un mécanisme de gestion des exceptions. Par rapport aux fonctions de gestion des erreurs, la gestion des exceptions peut fournir un moyen plus clair et plus flexible de gérer les erreurs.
chmod 600 errorlog.txt
Lors de l'utilisation de la gestion des exceptions, nous pouvons détecter les exceptions possibles directement via le bloc try...catch
. Lorsqu'une exception se produit, nous pouvons écrire de manière sélective les informations d'exception dans le fichier journal et renvoyer un message d'erreur général à l'utilisateur.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!