我們寫程序,難免會有問題(是常常會遇到問題 ),而PHP遇到錯誤時,就會給出出錯腳本的位置、行數和原因。有很多人說,這並沒有什麼大不了。確實,在調試程式階段,這確實是沒啥的,而且我認為給出錯誤路徑是必要的。
但洩漏了實際路徑的後果是不堪設想的,對於某些入侵者,這個資訊可是非常重要,而事實上現在有很多的伺服器都存在這個問題。有些網管乾脆把PHP設定檔中的display_errors設定為Off來解決(看起來像我們就是這樣做的),但本人認為這個方法過於消極。
有些時候,我們的確需要PHP回傳錯誤的訊息以便除錯。而且在出錯時也可能需要給用戶一個交待,甚至導航到另一個頁面。
那麼,有啥解決辦法呢?
set_error_handler()
PHP從4.1.0開始提供了自訂錯誤處理句柄的功能函數set_error_handler(),但很少數腳本編寫者知道。 set_error_handler這個函數可以很好地防止錯誤路徑洩露,當然還有其它更多的作用。
set_error_handler的使用方法如下:
<span>string</span> set_error_handler ( callback error_handler [, <span>int</span> error_types])
現在我們就用自訂的錯誤處理把實際路徑過濾掉。假設有一個變數$admin,我們是用來判斷訪客是否是管理員的(可以透過IP或登入的使用者id來做這個判斷)
<span>//</span><span>admin为管理员的身份判定,true为管理员。
</span><span>//</span><span>自定义的错误处理函数一定要有这4个输入变量$errno,$errstr,$errfile,$errline,否则无效。</span><span>function my_error_handler($errno,$errstr,$errfile,$errline)
{
</span><span>//</span><span>如果不是管理员就过滤实际路径 </span><span>if</span>(!<span>admin)
{
$errfile</span>=str_replace(getcwd(),<span>""</span><span>,$errfile);
$errstr</span>=str_replace(getcwd(),<span>""</span><span>,$errstr);
}
</span><span>switch</span><span>($errno)
{
</span><span>case</span><span> E_ERROR:
echo </span><span>"</span><span>ERROR: [ID $errno] $errstr (Line: $errline of $errfile) \n</span><span>"</span><span>;
echo </span><span>"</span><span>程序已经停止运行,请联系管理员。</span><span>"</span><span>;
</span><span>//</span><span>遇到Error级错误时退出脚本 </span><span>break</span><span>;
</span><span>case</span><span> E_WARNING:
echo </span><span>"</span><span>WARNING: [ID $errno] $errstr (Line: $errline of $errfile) \n</span><span>"</span><span>;
</span><span>break</span><span>;
</span><span>default</span><span>:
</span><span>//</span><span>不显示Notice级的错误 </span><span>break</span><span>;
}
} </span>這樣就自訂了錯誤處理函數,那麼怎麼把錯誤的處理交給這個自訂函數呢?
<span>//</span><span> 应用到类 </span>set_error_handler(array(&$<span>this</span>,<span>"</span><span>appError</span><span>"</span><span>)); </span><span>//</span><span>示例的做法 </span>set_error_handler(<span>"</span><span>my_error_handler</span><span>"</span>);
so easy,這樣,就可以很好地解決安全和調試方便的矛盾了。而且你還可以花點心思,讓錯誤提示更美觀以配合網站的風格。
原作者給了兩點需要注意的地方,我也放出來吧,希望引起廣大同胞們的注意:
<span>//</span><span>先定义一个函数,也可以定义在其他的文件中,再用require()调用 </span><span>function myErrorHandler($errno, $errstr, $errfile, $errline)
{
</span><span>//</span><span>为了安全起见,不暴露出真实物理路径,下面两行过滤实际路径 </span> $errfile=str_replace(getcwd(),<span>""</span><span>,$errfile);
$errstr</span>=str_replace(getcwd(),<span>""</span><span>,$errstr);
</span><span>switch</span><span> ($errno) {
</span><span>case</span><span> E_USER_ERROR:
echo </span><span>"</span><span><b>My ERROR</b> [$errno] $errstr<br />\n</span><span>"</span><span>;
echo </span><span>"</span><span> Fatal error on line $errline in file $errfile</span><span>"</span><span>;
echo </span><span>"</span><span>, PHP </span><span>"</span> . PHP_VERSION . <span>"</span><span> (</span><span>"</span> . PHP_OS . <span>"</span><span>)<br />\n</span><span>"</span><span>;
echo </span><span>"</span><span>Aborting...<br />\n</span><span>"</span><span>;
exit(</span><span>1</span><span>);
</span><span>break</span><span>;
</span><span>case</span><span> E_USER_WARNING:
echo </span><span>"</span><span><b>My WARNING</b> [$errno] $errstr<br />\n</span><span>"</span><span>;
</span><span>break</span><span>;
</span><span>case</span><span> E_USER_NOTICE:
echo </span><span>"</span><span><b>My NOTICE</b> [$errno] $errstr<br />\n</span><span>"</span><span>;
</span><span>break</span><span>;
</span><span>default</span><span>:
echo </span><span>"</span><span>Unknown error type: [$errno] $errstr<br />\n</span><span>"</span><span>;
</span><span>break</span><span>;
}
</span><span>/*</span><span> Don't execute PHP internal error handler </span><span>*/</span><span>return</span><span>true</span><span>;
}
</span><span>//</span><span>下面开始连接MYSQL服务器,我们故意指定MYSQL端口为3333,实际为3306。 </span>$link_id=@mysql_pconnect(<span>"</span><span>localhost:3333</span><span>"</span>,<span>"</span><span>root</span><span>"</span>,<span>"</span><span>password</span><span>"</span><span>);
set_error_handler(myErrorHandler);
</span><span>if</span> (!<span>$link_id) {
trigger_error(</span><span>"</span><span>出错了</span><span>"</span><span>, E_USER_ERROR);
} </span>好了,總結一下,以下是 set_error_handler 三種用法:
<span>class</span><span> CallbackClass {
function CallbackFunction() {
</span><span>//</span><span> refers to $this </span><span> }
function StaticFunction() {
</span><span>//</span><span> doesn't refer to $this </span><span> }
}
function NonClassFunction($errno, $errstr, $errfile, $errline) {
}
</span><span>//</span><span> 三种方法如下: </span><span>1</span>: set_error_handler(<span>'</span><span>NonClassFunction</span><span>'</span>); <span>//</span><span> 直接转到一个普通的函数 NonClassFunction </span><span>2</span>: set_error_handler(array(<span>'</span><span>CallbackClass</span><span>'</span>, <span>'</span><span>StaticFunction</span><span>'</span>)); <span>//</span><span> 转到 CallbackClass 类下的静方法 StaticFunction </span><span>3</span>: $o =& <span>new</span><span> CallbackClass();
set_error_handler(array($o, </span><span>'</span><span>CallbackFunction</span><span>'</span>)); <span>//</span><span> 转到类的构造函数,其实本质上跟下面的第四条一样。 </span><span>4</span>. $o = <span>new</span><span> CallbackClass();
</span><span>//</span><span> The following may also prove useful: </span><span>class</span><span> CallbackClass {
function CallbackClass() {
set_error_handler(array(</span>&$<span>this</span>, <span>'</span><span>CallbackFunction</span><span>'</span>)); <span>//</span><span> the & is important </span><span> }
function CallbackFunction() {
</span><span>//</span><span> refers to $this </span><span> }
} </span>以上就介紹了PHP set_error_handler函數的使用,包含了面向的內容,希望對PHP教學有興趣的朋友有幫助。
