Webサイト全体でエラー報告を無効にした場合、SQLデータベースの情報を発見する人から安全ですか?
また、これはXSS攻撃を完全に防ぎますか?
2 に答える
1
エラー報告を無効にすることは決して良い考えではありません。を無効display_errors()にしてから有効にする必要がありlog_errors()ます。
また、これはXSSとは何の関係もありません。XSSに対抗するのに役立つのは、を使用することhtmlspecialchars()です。
于 2012-07-26T17:03:08.373 に答える
1
エラー報告をオフにすることは、データベースインジェクション/ XSS攻撃を防ぐことです。目を閉じることは、強盗を防ぐことです。実際にコードを調べて、個々のセキュリティリスクを手動でカバーするような攻撃からあなたを保護するものはありませんexec()(プリペアドステートメント、タイムアウト、それらの多すぎる失敗した試行回数など、ブラックリストタイプのコマンドを使用するかどうか)。
于 2012-07-26T17:06:24.967 に答える