Pengendalian ralat PHP: elakkan daripada mendedahkan maklumat sensitif

Pengendalian Ralat PHP: Elakkan daripada mendedahkan maklumat sensitif

Pengendalian ralat adalah bahagian yang sangat penting semasa membangunkan aplikasi PHP. Pengendalian ralat yang baik boleh membantu pembangun mencari dan membetulkan ralat dengan cepat apabila masalah program berlaku, meningkatkan kestabilan dan kebolehpercayaan aplikasi. Walau bagaimanapun, semasa pengendalian ralat, kadangkala beberapa maklumat sensitif mungkin terdedah secara tidak sengaja, seperti maklumat sambungan pangkalan data, laluan fail, dsb. Untuk melindungi keselamatan aplikasi dan pengguna kami, kami perlu mengelak daripada mendedahkan maklumat sensitif ini.

Yang berikut akan memperkenalkan beberapa kaedah untuk mengelak daripada mendedahkan maklumat sensitif dalam pengendalian ralat PHP.

1. Matikan paparan ralat

Dalam persekitaran pengeluaran, kami harus melumpuhkan paparan mesej ralat PHP. Mematikan paparan mesej ralat boleh menghalang penggodam daripada menggunakan maklumat ini untuk melakukan serangan. Kami boleh menetapkan paparan ralat kepada mematikan dalam fail kemasukan utama projek:

<?php
error_reporting(0);
ini_set('display_errors', 0);

Selepas menetapkan ini, walaupun ralat berlaku, mesej ralat khusus tidak akan dipaparkan dalam penyemak imbas, tetapi log ralat akan disimpan ke log yang ditentukan dalam fail.

2. Gunakan fungsi pengendalian ralat tersuai

Selain mematikan paparan ralat, kami juga boleh menggunakan fungsi pengendalian ralat tersuai untuk mengendalikan ralat PHP. Dengan menangkap maklumat ralat, kami boleh menulis log ralat secara selektif untuk log fail dan memberikan gesaan ralat umum kepada pengguna dan bukannya maklumat ralat khusus.

<?php
function customErrorHandler($errno, $errstr, $errfile, $errline) {
    // 将错误信息写入日志文件
    $log = date('Y-m-d H:i:s') . ' - ' . $errno . ': ' . $errstr . ' in ' . $errfile . ' on line ' . $errline . PHP_EOL;
    file_put_contents('errorlog.txt', $log, FILE_APPEND);

    // 提示用户发生了错误
    echo '抱歉，系统出现了一些问题，请稍后再试。';
}
set_error_handler('customErrorHandler');

Dalam kod di atas, kami mendaftarkan fungsi pengendalian ralat tersuai customErrorHandler sebagai fungsi pengendalian ralat lalai melalui fungsi set_error_handler. Apabila ralat berlaku, sistem akan memanggil fungsi ini secara automatik untuk mengendalikan ralat. set_error_handler 函数将自定义的错误处理函数 customErrorHandler 注册为默认的错误处理函数。当出现错误时，系统会自动调用该函数来处理错误。

需要注意的是，我们在自定义的错误处理函数中，要避免直接将错误信息输出到用户的浏览器。因为在某些情况下，错误信息可能包含敏感信息。

3. 使用异常处理

除了使用错误处理函数，PHP 还提供了异常处理的机制。与错误处理函数相比，异常处理可以提供更加清晰和灵活的错误处理方式。

<?php
try {
    // 业务逻辑代码
} catch (Exception $e) {
    // 将异常信息写入日志文件
    $log = date('Y-m-d H:i:s') . ' - ' . $e->getMessage() . ' in ' . $e->getFile() . ' on line ' . $e->getLine() . PHP_EOL;
    file_put_contents('errorlog.txt', $log, FILE_APPEND);

    // 提示用户发生了错误
    echo '抱歉，系统出现了一些问题，请稍后再试。';
}

使用异常处理时，我们可以直接通过 try...catch

Perlu diingat bahawa dalam fungsi pengendalian ralat tersuai kami, kami mesti mengelak daripada mengeluarkan maklumat ralat terus ke penyemak imbas pengguna. Kerana dalam sesetengah kes, mesej ralat mungkin mengandungi maklumat sensitif.

3. Gunakan pengendalian pengecualian

Selain menggunakan fungsi pengendalian ralat, PHP juga menyediakan mekanisme pengendalian pengecualian. Berbanding dengan fungsi pengendalian ralat, pengendalian pengecualian boleh memberikan cara pengendalian ralat yang lebih jelas dan lebih fleksibel.

chmod 600 errorlog.txt

Apabila menggunakan pengendalian pengecualian, kita boleh menangkap kemungkinan pengecualian secara langsung melalui blok cuba...tangkap. Apabila pengecualian berlaku, kami boleh menulis maklumat pengecualian secara selektif pada fail log dan mengembalikan mesej ralat umum kepada pengguna.

Beri perhatian kepada kebenaran fail log
🎜Apabila menulis maklumat ralat pada fail log, kita perlu memastikan bahawa direktori dan kebenaran fail fail log ditetapkan dengan betul. Kami perlu melarang operasi selain daripada kebenaran membaca pada fail untuk menghalang penggodam daripada mendapatkan maklumat sensitif. 🎜🎜Dalam persekitaran Linux, kita boleh menggunakan arahan berikut untuk menetapkan kebenaran fail log: 🎜rrreee🎜Dalam persekitaran Windows, kita boleh menetapkan kebenaran fail melalui atribut fail. 🎜🎜Untuk meringkaskan, anda perlu mengelak daripada mendedahkan maklumat sensitif semasa mengendalikan ralat PHP. Kami boleh melindungi aplikasi dan pengguna kami dengan mematikan paparan ralat, menggunakan fungsi pengendalian ralat tersuai, menggunakan pengendalian pengecualian dan menetapkan kebenaran pada fail log dengan betul. Mekanisme pengendalian ralat yang munasabah adalah bahagian penting dalam memastikan operasi aplikasi yang stabil. 🎜

Atas ialah kandungan terperinci Pengendalian ralat PHP: elakkan daripada mendedahkan maklumat sensitif. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!