montre-t-il aux utilisateurs réguliers que le mysqli_errno est considéré comme sûr ou non?

Question

Je pensais envoyer un numéro d'erreur MySQL en utilisant mysqli_errno() à une page indiquant à l'utilisateur que 'il y avait une erreur avec ce code si cela persiste, s'il vous plaît envoyez ce code au propriétaire du site à email@example.com'.

J'ai vu une leçon qui montre comment lancer le message mysqli_error() sur une page d'erreur, mais je ne veux pas que l'utilisateur voit le texte descriptif, juste le code.

Est-ce sécuritaire?

affichera le code d'erreur MySQL ne menace pas la sécurité de mon site?

Je souhaite tirer parti du code d'erreur pour résoudre le problème. Suggérez-vous d'autres techniques?

Answer 1

Ne faites pas cela. Exposer les détails de l'infrastructure de votre serveur est une faille de sécurité. Si un attaquant sait que vous utilisez mysql, il peut tenter des exploits mysql. Mieux garder cette information privée. Au lieu de cela, vous devez créer une interface de service pour vos clients auxquels ils peuvent se connecter pour lire leurs journaux d'erreurs. Vous pouvez générer un identifiant unique pour chaque erreur (guid) et enregistrer l'erreur dans une base de données codée par le même guide. Vous pouvez ensuite renvoyer ce guid au client (comme un en-tête, par exemple). Votre client peut obtenir ceci et utiliser votre service admin/error pour interroger la base de données pour l'erreur associée à cet identifiant. Je sais que cela semble compliqué, mais la sécurité est alambiquée. Il y a des façons de simplifier cela - les outils COTS par exemple, mais ils suivent tous essentiellement ce modèle.