действительно показывает, что пользователь mysqli_errno считается безопасным или нет?

Question

Я думал о отправке номера ошибки MySQL с помощью mysqli_errno() на страницу, сообщающую пользователю, что 'была ошибка с этим кодом, если это не удастся, отправьте этот код владельцу сайта по адресу электронной почты@example.com'.

Я видел урок, который показывает, как отправить сообщение mysqli_error() на страницу с ошибкой, но я не хочу, чтобы пользователь видел описательный текст, просто код.

Безопасно ли это?

будет показывать код ошибки MySQL, не угрожая безопасности моего сайта?

Я хочу получить код ошибки, чтобы решить эту проблему. Вы предлагаете другие методы?

Answer 1

Не делайте этого. Предоставление информации о инфраструктуре вашего сервера является недостатком безопасности. Если злоумышленник знает, что вы используете mysql, они могут пытаться использовать эксплойты mysql. Лучше сохранить эту информацию конфиденциальной.

Скорее вы должны создать служебный интерфейс для своих клиентов, с помощью которого они могут войти в систему, чтобы читать свои журналы ошибок. Вы можете создать уникальный идентификатор для каждой ошибки (guid) и сохранить ошибку в базе данных с ключом того же guid. Затем вы можете вернуть это руководство клиенту (например, заголовок). Ваш клиент может воспользоваться этим и использовать вашу службу admin/error для запроса базы данных об ошибке, связанной с этим идентификатором.

Я знаю, что это звучит запутанно, но безопасность запутана. Есть способы упростить это - например, инструменты COTS, но все они в основном следуют этому шаблону.