[英]Error or php + mysql code is appeared to the user. What info can be extracted and how to prevent this?
我在Xampp上使用eclass平台。 當您直接轉到www.domain.com/eclass/document.php之類的文件,而沒有按照現場導航進行操作時,會得到此信息。
用戶可以提取哪些信息,如何避免使用,這對系統有多大危害?
1146: Table 'eclass.accueil' doesn't exist
select `id` from accueil
where visible=1 AND lien NOT LIKE '%/user.php'
ORDER BY rubrique
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in C:\xampp\htdocs\eclass\include\init.php on line 310
Warning: Cannot modify header information - headers already sent by (output started at C:\xampp\htdocs\eclass\include\lib\main.lib.php:61) in C:\xampp\htdocs\eclass\include\baseTheme.php on line 60
這可能被用來尋找安全漏洞。
您可以通過在mysql_query失敗時拋出Exception並捕獲Exception來輕松地避免這種情況;)
您還可以捕獲警告。 參見set_error_handler和set_exception_handler
這同時暴露了數據庫結構(的一部分)和文件系統結構。 這將允許技術精湛的用戶研究您正在使用的系統的已知漏洞,並且可能會失敗。
更新您的php.ini以關閉display_errors ,然后重新啟動XAMPP,這應該可以防止這種情況的發生。
除了其他人已經提到的:
您可以檢查訪問者是否正在直接請求文件,或者訪問者是否以“正常方式”訪問文件。 在您的所有php文件中包括某種形式的授權。 如果未經授權,將用戶重定向到主頁。
您可以使用.htaccess保護文件免受直接訪問
從我的密碼哈希函數中可以提取什么信息? 它是可逆的嗎?
[英]What info can be extracted from my password hashing function? Is it reversible?
Wordpress php測驗 - 無論用戶如何,代碼都會返回測驗值。 我如何使它只返回當前用戶的值?
[英]Wordpress php quiz - code returns values of quiz regardless of user. How do i make it only returns current users values?
如何使用用戶登錄信息在 PHP 和 MySQL 查詢中進行 IF ELSE 條件
[英]How to make an IF ELSE condition in PHP and MySQL query with user LOGIN info
如果用戶要編輯信息PHP MySQL,如何自動上傳圖片?
[英]How to upload image automatically if user wants to edit info PHP MySQL?
如何改進這種用 PHP 在 mySQL 中插入信息的質朴方式?
[英]How can I improve this rustic way to insert info in mySQL with PHP?
PHP基本隨機報價生成器。 如何防止最近出現的報價?
[英]PHP Basic Random Quote Generator. How do I prevent quotes that have appeared recently?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.