我的客户在123-reg共享主机上有一个站点。123-reg在默认的php.ini中有一个非标准的实现设置display-errors = on。在我使用过的其他主机上,默认设置是Off。123-reg不允许您在共享主机上重写此设置。
PHP手册中关于display-errors的说明是:"这是一个支持开发的特性,不应该在生产系统(例如连接到internet的系统)上使用。我相信这是因为文件路径等可能会被显示,从而产生不安全的漏洞。
我已经要求123-reg更改其默认值或允许重写。他们的反应总是一样的,升级到VPS,它可以被覆盖。他们似乎没有意识到这对我和其他共享主机的PHP用户来说是一种风险。(他们甚至说改变它会阻止其他共享网站工作!!)
这个风险有多大?我应该把网站转移到一个更安全的主机上吗?
虽然这可能更多是服务器故障的问题,而不是这里的问题,但我想说的是,我认为我不会选择任何没有为生产使用配置PHP的托管公司。
display_errors应该关闭,然后您可以在需要时使用ini_set将其打开
然而,如果你的客户端不能/不愿从他们当前的主机移走,尝试在每个文件的顶部使用下面的include。
error_reporting(0); // to disable all errors
ini_set('display_errors', 0);
ini_set('display_startup_errors', 0);
这不是最好的解决方案,但应该关闭代码中的所有内容
另一个解决方案是设置error_reporting/display_errors from .htaccess(如果主机允许)。
试试这样写:
php_flag display_errors off
php_value error_reporting {value}
要获取{value},请查看下面的示例:
echo E_WARNING & ~E_NOTICE; // 2
echo E_ALL; // 32767
实际上,您可以通过使用php.ini文件来关闭错误报告。只需创建该文件,将其放在需要关闭此功能的主机空间中,并在其中添加以下行:
display_errors = Off
你可以像这样修改大部分php设置。至于安全性,我认为他们是最安全的共享主机平台可以得到-如果我是你,我不会真的担心这个