Chinaunix首页 | 论坛 | 博客
  • 博客访问: 16354816
  • 博文数量: 5645
  • 博客积分: 9880
  • 博客等级: 中将
  • 技术积分: 68081
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-28 13:35
文章分类

全部博文(5645)

文章存档

2008年(5645)

我的朋友

分类:

2008-04-28 14:21:15

下载本文示例代码

错误路径泄露
1.漏洞原因:
PHP遇到错误时,就会给出出错脚本的位置、行数和原因,例如:
Notice: Use of undefined constant test - assumed ''test'' in D:interpubbigflytest.php on line 3
有很多人说,这并没有什么大不了。但泄露了实际路径的后果是不堪设想的,对于某些入侵者,这个信息可是非常重要,而事实上现在有很多的服务器都存在这个问题。
有些网管干脆把PHP配置文件中的display_errors设置为Off来解决,但本人认为这个方法过于消极。有些时候,我们的确需要PHP返回错误的信息以便调试。而且在出错时也可能需要给用户一个交待,甚至导航到另一页面。
2.漏洞解决:
PHP从4.1.0开始提供了自定义错误处理句柄的功能函数set_error_handler(),但很少数脚本编写者知道。在众多的PHP论坛中,我只看见很少一部分对此情况进行了处理。set_error_handler的使用方法如下:
string set_error_handler ( callback error_handler [, int error_types])
现在我们就用自定义的错误处理把实际路径过滤掉。
//admin为管理员的身份判定,true为管理员。
//自定义的错误处理函数一定要有这4个输入变量$errno,$errstr,$errfile,$errline,否则无效。
function my_error_handler($errno,$errstr,$errfile,$errline)
{
//如果不是管理员就过滤实际路径
if(!admin)
{
$errfile=str_replace(getcwd(),"",$errfile);
$errstr=str_replace(getcwd(),"",$errstr);
}
switch($errno)
{
case E_ERROR:
echo "ERROR: [ID $errno] $errstr (Line: $errline of $errfile)
n";
echo "程序已经停止运行,请联系管理员。";
//遇到Error级错误时退出脚本
exit;
break;

case E_WARNING:
echo "WARNING: [ID $errno] $errstr (Line: $errline of $errfile)
n";
break;

default:
//不显示Notice级的错误
break;
}
}

//把错误处理设置为my_error_handler函数
set_error_handler("my_error_handler");

这样,就可以很好地解决安全和调试方便的矛盾了。而且你还可以花点心思,使错误提示更加美观以配合网站的风格。不过注意两点是:
(1)E_ERROR、E_PARSE、E_CORE_ERROR、E_CORE_WARNING、E_COMPILE_ERROR、E_COMPILE_WARNING是不会被这个句柄处理的,也就是会用最原始的方式显示出来。不过出现这些错误都是编译或PHP内核出错,在通常情况下不会发生。
(2)使用set_error_handler()后,error_reporting ()将会失效。也就是所有的错误(除上述的错误)都会交给自定义的函数处理。
其它有关于set_error_handler()的信息,大家可以参考PHP的官方手册。

下面我举个实际应用中的例子:

//先定义一个函数,也可以定义在其他的文件中,再用require()调用
function myErrorHandler($errno, $errstr, $errfile, $errline)
{
     //为了安全起见,不暴露出真实物理路径,下面两行过滤实际路径
$errfile=str_replace(getcwd(),"",$errfile);
$errstr=str_replace(getcwd(),"",$errstr);

switch ($errno) {
case E_USER_ERROR:

echo "My ERROR [$errno] $errstr
\n";
echo " Fatal error on line $errline in file $errfile";
echo ", PHP " . PHP_VERSION . " (" . PHP_OS . ")
\n";
echo "Aborting...
\n";
exit(1);
break;

case E_USER_WARNING:
echo "My WARNING [$errno] $errstr
\n";
break;

case E_USER_NOTICE:
echo "My NOTICE [$errno] $errstr
\n";
break;

default:
echo "Unknown error type: [$errno] $errstr
\n";
break;
}

/* Don't execute PHP internal error handler */
return true;
}

//下面开始连接MYSQL服务器,我们故意指定MYSQL端口为3333,实际为3306。
$link_id=@mysql_pconnect("localhost:3333","root","password");
set_error_handler(myErrorHandler);
if (!$link_id) {
trigger_error("出错了", E_USER_ERROR);
}

?>

错误路径泄露
1.漏洞原因:
PHP遇到错误时,就会给出出错脚本的位置、行数和原因,例如:
Notice: Use of undefined constant test - assumed ''test'' in D:interpubbigflytest.php on line 3
有很多人说,这并没有什么大不了。但泄露了实际路径的后果是不堪设想的,对于某些入侵者,这个信息可是非常重要,而事实上现在有很多的服务器都存在这个问题。
有些网管干脆把PHP配置文件中的display_errors设置为Off来解决,但本人认为这个方法过于消极。有些时候,我们的确需要PHP返回错误的信息以便调试。而且在出错时也可能需要给用户一个交待,甚至导航到另一页面。
2.漏洞解决:
PHP从4.1.0开始提供了自定义错误处理句柄的功能函数set_error_handler(),但很少数脚本编写者知道。在众多的PHP论坛中,我只看见很少一部分对此情况进行了处理。set_error_handler的使用方法如下:
string set_error_handler ( callback error_handler [, int error_types])
现在我们就用自定义的错误处理把实际路径过滤掉。
//admin为管理员的身份判定,true为管理员。
//自定义的错误处理函数一定要有这4个输入变量$errno,$errstr,$errfile,$errline,否则无效。
function my_error_handler($errno,$errstr,$errfile,$errline)
{
//如果不是管理员就过滤实际路径
if(!admin)
{
$errfile=str_replace(getcwd(),"",$errfile);
$errstr=str_replace(getcwd(),"",$errstr);
}
switch($errno)
{
case E_ERROR:
echo "ERROR: [ID $errno] $errstr (Line: $errline of $errfile)
n";
echo "程序已经停止运行,请联系管理员。";
//遇到Error级错误时退出脚本
exit;
break;

case E_WARNING:
echo "WARNING: [ID $errno] $errstr (Line: $errline of $errfile)
n";
break;

default:
//不显示Notice级的错误
break;
}
}

//把错误处理设置为my_error_handler函数
set_error_handler("my_error_handler");

这样,就可以很好地解决安全和调试方便的矛盾了。而且你还可以花点心思,使错误提示更加美观以配合网站的风格。不过注意两点是:
(1)E_ERROR、E_PARSE、E_CORE_ERROR、E_CORE_WARNING、E_COMPILE_ERROR、E_COMPILE_WARNING是不会被这个句柄处理的,也就是会用最原始的方式显示出来。不过出现这些错误都是编译或PHP内核出错,在通常情况下不会发生。
(2)使用set_error_handler()后,error_reporting ()将会失效。也就是所有的错误(除上述的错误)都会交给自定义的函数处理。
其它有关于set_error_handler()的信息,大家可以参考PHP的官方手册。

下面我举个实际应用中的例子:

//先定义一个函数,也可以定义在其他的文件中,再用require()调用
function myErrorHandler($errno, $errstr, $errfile, $errline)
{
     //为了安全起见,不暴露出真实物理路径,下面两行过滤实际路径
$errfile=str_replace(getcwd(),"",$errfile);
$errstr=str_replace(getcwd(),"",$errstr);

switch ($errno) {
case E_USER_ERROR:

echo "My ERROR [$errno] $errstr
\n";
echo " Fatal error on line $errline in file $errfile";
echo ", PHP " . PHP_VERSION . " (" . PHP_OS . ")
\n";
echo "Aborting...
\n";
exit(1);
break;

case E_USER_WARNING:
echo "My WARNING [$errno] $errstr
\n";
break;

case E_USER_NOTICE:
echo "My NOTICE [$errno] $errstr
\n";
break;

default:
echo "Unknown error type: [$errno] $errstr
\n";
break;
}

/* Don't execute PHP internal error handler */
return true;
}

//下面开始连接MYSQL服务器,我们故意指定MYSQL端口为3333,实际为3306。
$link_id=@mysql_pconnect("localhost:3333","root","password");
set_error_handler(myErrorHandler);
if (!$link_id) {
trigger_error("出错了", E_USER_ERROR);
}

?>

下载本文示例代码


set_error_handler() 用法set_error_handler() 用法set_error_handler() 用法set_error_handler() 用法set_error_handler() 用法set_error_handler() 用法set_error_handler() 用法set_error_handler() 用法set_error_handler() 用法set_error_handler() 用法set_error_handler() 用法set_error_handler() 用法set_error_handler() 用法set_error_handler() 用法set_error_handler() 用法
阅读(194) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~