Bom seguinte galera....a empresa em que eu trabalho contratou aquele empresa SiteBlindado para verificar as vunerabilidades do site. Bem entre as vunerabilidades apontadas esta a seguinte:
- SQL Error Message
A explicação dada:
SQL Error Message, or SQL Exception, is a vulnerability caused by a Web application inserting user input in a SQL query without validation and failing to suppress error messages that may result from use of such input. This SmartAttack injects SQL characters in order to cause errors in SQL execution, and looks for evidence of such errors.
Bom e o que o pessoal lá sugere que se faça para impedir que estes erros aparecao:
PHP
For PHP, you can control whether or not detailed error messages are presented to the client by setting the following directives. The configuration below will log errors to your server’s error log, but not display the errors to the client:
log_errors = On
display_errors = Off
Bom o problema é que não sei onde colocar isso.....e sinceramente vocês acham uma boa não mostrar os erros?
quanto a onde colocar...olhando o codigo do programador que desenvolveu o site ele colocou la na pagina principal assim:
setlocale (LC_ALL, 'pt_BR');
ini_set('error_reporting', E_ALL & ~E_NOTICE);
Pelo que eu pesquisei isso é para mostrar todos os erros que acontecerem, no caso então se eu quissesse que não aprecesse seria apenas tirar isso?
Seria o mesmo que o display_errors = off?
alguém sabe me esclarecer estas duvidas?
Valeu
PS: Este tópico esta em PHP porque apesar da recomendaçao ser de erro MySQL, eu tenho que fazer a solucao deles em PHP, pois meu sistema esta em PHP
Pergunta
marcosfj1
Bom seguinte galera....a empresa em que eu trabalho contratou aquele empresa SiteBlindado para verificar as vunerabilidades do site. Bem entre as vunerabilidades apontadas esta a seguinte:
- SQL Error Message
A explicação dada:
SQL Error Message, or SQL Exception, is a vulnerability caused by a Web application inserting user input in a SQL query without validation and failing to suppress error messages that may result from use of such input. This SmartAttack injects SQL characters in order to cause errors in SQL execution, and looks for evidence of such errors.
Bom e o que o pessoal lá sugere que se faça para impedir que estes erros aparecao:
PHP
For PHP, you can control whether or not detailed error messages are presented to the client by setting the following directives. The configuration below will log errors to your server’s error log, but not display the errors to the client:
log_errors = On
display_errors = Off
Bom o problema é que não sei onde colocar isso.....e sinceramente vocês acham uma boa não mostrar os erros?
quanto a onde colocar...olhando o codigo do programador que desenvolveu o site ele colocou la na pagina principal assim:
setlocale (LC_ALL, 'pt_BR');
ini_set('error_reporting', E_ALL & ~E_NOTICE);
Pelo que eu pesquisei isso é para mostrar todos os erros que acontecerem, no caso então se eu quissesse que não aprecesse seria apenas tirar isso?
Seria o mesmo que o display_errors = off?
alguém sabe me esclarecer estas duvidas?
Valeu
PS: Este tópico esta em PHP porque apesar da recomendaçao ser de erro MySQL, eu tenho que fazer a solucao deles em PHP, pois meu sistema esta em PHP
Link para o comentário
Compartilhar em outros sites
1 resposta a esta questão
Posts Recomendados
Participe da discussão
Você pode postar agora e se registrar depois. Se você já tem uma conta, acesse agora para postar com sua conta.