Pengendalian Ralat PHP: Elakkan daripada mendedahkan maklumat sensitif
Pengendalian ralat adalah bahagian yang sangat penting semasa membangunkan aplikasi PHP. Pengendalian ralat yang baik boleh membantu pembangun mencari dan membetulkan ralat dengan cepat apabila masalah program berlaku, meningkatkan kestabilan dan kebolehpercayaan aplikasi. Walau bagaimanapun, semasa pengendalian ralat, kadangkala beberapa maklumat sensitif mungkin terdedah secara tidak sengaja, seperti maklumat sambungan pangkalan data, laluan fail, dsb. Untuk melindungi keselamatan aplikasi dan pengguna kami, kami perlu mengelak daripada mendedahkan maklumat sensitif ini.
Yang berikut akan memperkenalkan beberapa kaedah untuk mengelak daripada mendedahkan maklumat sensitif dalam pengendalian ralat PHP.
Dalam persekitaran pengeluaran, kami harus melumpuhkan paparan mesej ralat PHP. Mematikan paparan mesej ralat boleh menghalang penggodam daripada menggunakan maklumat ini untuk melakukan serangan. Kami boleh menetapkan paparan ralat kepada mematikan dalam fail kemasukan utama projek:
<?php error_reporting(0); ini_set('display_errors', 0);
Selepas menetapkan ini, walaupun ralat berlaku, mesej ralat khusus tidak akan dipaparkan dalam penyemak imbas, tetapi log ralat akan disimpan ke log yang ditentukan dalam fail.
Selain mematikan paparan ralat, kami juga boleh menggunakan fungsi pengendalian ralat tersuai untuk mengendalikan ralat PHP. Dengan menangkap maklumat ralat, kami boleh menulis log ralat secara selektif untuk log fail dan memberikan gesaan ralat umum kepada pengguna dan bukannya maklumat ralat khusus.
<?php function customErrorHandler($errno, $errstr, $errfile, $errline) { // 将错误信息写入日志文件 $log = date('Y-m-d H:i:s') . ' - ' . $errno . ': ' . $errstr . ' in ' . $errfile . ' on line ' . $errline . PHP_EOL; file_put_contents('errorlog.txt', $log, FILE_APPEND); // 提示用户发生了错误 echo '抱歉,系统出现了一些问题,请稍后再试。'; } set_error_handler('customErrorHandler');
Dalam kod di atas, kami mendaftarkan fungsi pengendalian ralat tersuai customErrorHandler
sebagai fungsi pengendalian ralat lalai melalui fungsi set_error_handler
. Apabila ralat berlaku, sistem akan memanggil fungsi ini secara automatik untuk mengendalikan ralat. set_error_handler
函数将自定义的错误处理函数 customErrorHandler
注册为默认的错误处理函数。当出现错误时,系统会自动调用该函数来处理错误。
需要注意的是,我们在自定义的错误处理函数中,要避免直接将错误信息输出到用户的浏览器。因为在某些情况下,错误信息可能包含敏感信息。
除了使用错误处理函数,PHP 还提供了异常处理的机制。与错误处理函数相比,异常处理可以提供更加清晰和灵活的错误处理方式。
<?php try { // 业务逻辑代码 } catch (Exception $e) { // 将异常信息写入日志文件 $log = date('Y-m-d H:i:s') . ' - ' . $e->getMessage() . ' in ' . $e->getFile() . ' on line ' . $e->getLine() . PHP_EOL; file_put_contents('errorlog.txt', $log, FILE_APPEND); // 提示用户发生了错误 echo '抱歉,系统出现了一些问题,请稍后再试。'; }
使用异常处理时,我们可以直接通过 try...catch
Selain menggunakan fungsi pengendalian ralat, PHP juga menyediakan mekanisme pengendalian pengecualian. Berbanding dengan fungsi pengendalian ralat, pengendalian pengecualian boleh memberikan cara pengendalian ralat yang lebih jelas dan lebih fleksibel.
chmod 600 errorlog.txt
Apabila menggunakan pengendalian pengecualian, kita boleh menangkap kemungkinan pengecualian secara langsung melalui blok cuba...tangkap
. Apabila pengecualian berlaku, kami boleh menulis maklumat pengecualian secara selektif pada fail log dan mengembalikan mesej ralat umum kepada pengguna.
Atas ialah kandungan terperinci Pengendalian ralat PHP: elakkan daripada mendedahkan maklumat sensitif. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!