對于 PHP 的安全性來說錯誤報告是一把雙刃劍。一方面可以提高安全性，另一方面又有害。

攻擊系統(tǒng)時經(jīng)常使用的手法就是輸入不正確的數(shù)據(jù)，然后查看錯誤提示的類型及上下文。這樣做有利于攻擊者收集服務(wù)器的信息以便尋找弱點。比如說，如果一個攻擊者知道了一個頁面所基于的表單信息，那么他就會嘗試修改變量：

Example #1 用自定義的 HTML 頁面攻擊變量

<form method='post' action='attacktarget?username=badfoo&amp;password=badfoo'> <input type='hidden' name='username' value='badfoo' /> <input type='hidden' name='password' value='badfoo' /></form>

通常 PHP 所返回的錯誤提示都能幫助開發(fā)者調(diào)試程序，它會提出哪個文件的哪些函數(shù)或代碼出錯，并指出錯誤發(fā)生的在文件的第幾行，這些就是 PHP 本身所能給出的信息。很多 PHP 開發(fā)者會使用 show_source()、 highlight_string() 或者 highlight_file() 函數(shù)來調(diào)試代碼，但是在正式運行的網(wǎng)站中，這種做法可能會暴露出隱藏的變量、未檢查的語法和其它的可能危及系統(tǒng)安全的信息。在運行一些具有內(nèi)部調(diào)試處理的程序，或者使用通用調(diào)試技術(shù)是很危險的。如果讓攻擊者確定了程序是使用了哪種具體的調(diào)試技術(shù)，他們會嘗試發(fā)送變量來打開調(diào)試功能：

Example #2 利用變量打開調(diào)式功能

<form method='post' action='attacktarget?errors=Y&amp;showerrors=1&amp;debug=1'> <input type='hidden' name='errors' value='Y' /> <input type='hidden' name='showerrors' value='1' /> <input type='hidden' name='debug' value='1' /></form>

不管錯誤處理機制如何，可以探測系統(tǒng)錯誤的能力會給攻擊者提供更多信息。

比如說，PHP 的獨有的錯誤提示風(fēng)格可以說明系統(tǒng)在運行 PHP。如果攻擊者在尋找一個 .html 為頁面，想知道其后臺的技術(shù)（為了尋找系統(tǒng)弱點），他們就會把錯誤的數(shù)據(jù)提交上去，然后就有可以得知系統(tǒng)是基于 PHP 的了。

一個函數(shù)錯誤就可能暴露系統(tǒng)正在使用的數(shù)據(jù)庫，或者為攻擊者提供有關(guān)網(wǎng)頁、程序或設(shè)計方面的有用信息。攻擊者往往會順藤摸瓜地找到開放的數(shù)據(jù)庫端口，以及頁面上某些 bug 或弱點等。比如說，攻擊者可以一些不正常的數(shù)據(jù)使程序出錯，來探測腳本中認證的順序（通過錯誤提示的行號數(shù)字）以及腳本中其它位置可能泄露的信息。

一個文件系統(tǒng)或者 PHP 的錯誤就會暴露 web 服務(wù)器具有什么權(quán)限，以及文件在服務(wù)器上的組織結(jié)構(gòu)。開發(fā)者自己寫的錯誤代碼會加劇此問題，導(dǎo)致泄漏了原本隱藏的信息。

有三個常用的辦法處理這些問題。第一個是徹底地檢查所有函數(shù)，并嘗試彌補大多數(shù)錯誤。第二個是對在線系統(tǒng)徹底關(guān)閉錯誤報告。第三個是使用 PHP 自定義的錯誤處理函數(shù)創(chuàng)建自己的錯誤處理機制。根據(jù)不同的安全策略，三種方法可能都適用。

一個能提前阻止這個問題發(fā)生的方法就是利用 error_reporting() 來幫助使代碼更安全并發(fā)現(xiàn)變量使用的危險之處。在發(fā)布程序之前，先打開 E_ALL 測試代碼，可以幫你很快找到變量使用不當(dāng)?shù)牡胤健Ｒ坏蕚湔桨l(fā)布，就應(yīng)該把 error_reporting() 的參數(shù)設(shè)為 0 來徹底關(guān)閉錯誤報告或者把 php.ini 中的 display_errors 設(shè)為 off 來關(guān)閉所有的錯誤顯示以將代碼隔絕于探測。當(dāng)然，如果要遲一些再這樣做，就不要忘記打開 ini 文件內(nèi)的 log_errors 選項，并通過 error_log 指定用于記錄錯誤信息的文件。

Example #3 用 E_ALL 來查找危險的變量

<?php if ($username) { // Not initialized or checked before usage$good_login = 1; } if ($good_login == 1) { // If above test fails, not initialized or checked before usagereadfile ('/highly/sensitive/data/index.html'); }?>