1,display_errors
display_errors
錯誤回顯,一般常用語開發模式,但是很多應用在正式環境中也忘記了關閉此選項。錯誤回顯可以暴露出非常多的敏感信息,為攻擊者下一步攻擊提供便利。推薦關閉此選項。
display_errors = On
開啟狀態下,若出現錯誤,則報錯,出現錯誤提示
dispaly_errors = Off
關閉狀態下,若出現錯誤,則提示:服務器錯誤。但是不會出現錯誤提示
log_errors
在正式環境下用這個就行了,把錯誤信息記錄在日志里。正好可以關閉錯誤回顯。
對於PHP開發人員來說,一旦某個產品投入使用,那么第一件事就是應該將display_errors選項關閉,以免因為這些錯誤所透露的路徑、數據庫連接、數據表等信息而遭到黑客攻擊。 其次開啟log_errors。
在php.ini中配置如下:
display_errors = Off log_errors = On error_log = /var/log/php-error.log
另外也可以設定error_log = syslog,使這些錯誤信息記錄到操作系統的日志里。
有時會遇到以下問題:
PHP設置文件php.ini中明明已經設置display_errors = Off,但是在運行過程中,網頁上還是會出現錯誤信息。
解決:
經查log_errors= On,據官方的說法,當這個log_errors設置為On,那么必須指定error_log文件,如果沒指定或者指定的文件沒有權限寫入,那么照樣會輸出到正常的輸出渠道,那么也就使得display_errors 這個指定的Off失效,錯誤信息還是打印了出來。於是將log_errors = Off,問題就解決了。
2,error_reporting 設定錯誤訊息回報的等級
error_reporting可以設置的參數,如下:
錯誤報告是位字段。可以將數字加起來得到想要的錯誤報告等級。
| 值 | 常量 | 描述 |
| 1 | E_ERROR | 致命的運行錯誤。錯誤無法恢復,暫停執行腳本 |
| 2 | E_WARNING | 運行時警告(非致命性錯誤)。非致命的運行錯誤,腳本執行不會停止 |
| 4 | E_PARSE | 編譯時解析錯誤。解析錯誤只由分析器產生 |
| 8 | E_NOTICE | 運行時提醒(這些經常是你代碼中的bug引起的,也可能是有意的行為造成的。) |
| 16 | E_CORE_ERROR | PHP啟動時初始化過程中的致命錯誤 |
| 32 | E_CORE_WARNING | PHP啟動時初始化過程中的警告(非致命性錯) |
| 64 | E_COMPILE_ERROR | 編譯時致命性錯。這就像由Zend腳本引擎生成了一個E_ERROR |
| 128 | E_COMPILE_WARNING | 編譯時警告(非致命性錯)。這就像由Zend腳本引擎生成了一個E_WARNING警告 |
| 256 | E_USER_ERROR | 用戶自定義的錯誤消息。這就像由使用PHP函數trigger_error(程序員設置E_ERROR) |
| 512 | E_USER_WARNING | 用戶自定義的警告消息。這就像由使用PHP函數trigger_error(程序員設定的一個E_WARNING警告) |
| 1024 | E_USER_NOTICE | 用戶自定義的提醒消息。這就像一個由使用PHP函數trigger_error(程序員一個E_NOTICE集) |
| 2048 | E_STRICT | 編碼標准化警告。允許PHP建議如何修改代碼以確保最佳的互操作性向前兼容性 |
| 4096 | E_RECOVERABLE_ERROR | 開捕致命錯誤。這就像一個E_ERROR,但可以通過用戶定義的處理捕獲(又見set_error_handler()) |
| 8191 | E_ALL | 所有的錯誤和警告(不包括 E_STRICT) (E_STRICT will be part of E_ALL as of PHP 6.0) |
在php.ini中配置實例如下:
error_reporting = E_ALL & ~E_NOTICE ; 顯示所有的錯誤,除了提醒 error_reporting = E_COMPILE_ERROR|E_ERROR|E_CORE_ERROR ; 僅顯示編譯時致命性錯誤 error_reporting=E_ERROR :只會報告致命性錯誤
在php程序中配置如下:
<?php //禁用錯誤報告 error_reporting(0); //報告運行時錯誤 error_reporting(E_ERROR | E_WARNING | E_PARSE); //報告所有錯誤 error_reporting(E_ALL); ?>