如果我只是在我的网站上禁用错误报告,我是否可以安全地避免任何人发现我的SQL数据库中的信息?
此外,这会完全防止XSS攻击吗?
关闭错误报告是为了防止数据库注入/XSS攻击,就像闭上眼睛是为了防止被抢劫一样Nothing可以保护您免受攻击,比如实际遍历代码并手动掩盖每个单独的安全风险(无论是将exec()
类型的命令列入黑名单、使用准备好的语句、超时、那些太多失败的尝试计数器,无论是什么)。
禁用错误报告从来都不是一个好主意。您应该禁用display_errors()
并启用log_errors()
。
此外,这与XSS无关。有助于对抗XSS的是使用htmlspecialchars()
。