Citat:
Originalno napisao bluesman
Ja sam od pre godinu dana poceo sa sistemom gde se korisniku prikaze samo generic greska tipa "sorry, imamo problem sa bazom" a u log i na mail stize detaljna informacija.
|
+1
U DEBUG modu skripta prikazuje mnogo više podataka, ali u "produkcionom" okruženju bi trebalo da prikaže samo kratno "Whoops!" i dosta
Citat:
Originalno napisao Ivan
U nekim primerima je najbolja fora sto error poruke stampaju i neke ulazne parametre pa je samim tim moguce izvrsiti i XSS napad.
|
Upravo. Npr, var_dump koji se uglavnom koristi za prikaz stanja promenljive ti ne omogućava da escapuješ vrednosti već ih jednostavno "ispljune" što uglavnom omogućava napadaču da smesti bilo kakav kod. Rešenje: napišite svoju funkciju koja će prikazivati stanje promenljive ili funkciju koja će parsirati izlaz iz var_dumpa...