php - 未捕获的 PDOException 泄露用户名和密码

Question

try {
    self::$dbinstance = new PDO(
        "mysql:host=$c[host];dbname=$c[dbname]", $c['user'], $c['password']
    );

    self::$dbinstance->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} 
catch(PDOException $e) {
    echo "Errors" . $e->getMessage();
}

在上面的代码中，如果 PDO 无法连接到主机，则会发生 fatal error ，从而泄露用户名和密码。

Uncaught exception 'PDOException' with message 'SQLSTATE[HY000] [2003]
Can't connect to MySQL server on '172.25.102.65' (10060)' in
D:\xampp\htdocs\mytest\wh_client_2.1\classes\importmodule-class.php:33 Stack trace: #0
D:\xampp\htdocs\mytest\wh_client_2.1\classes\importmodule-class.php(33): PDO-
>__construct('mysql:host=172....', 'host', 'password') #1

一种可能的方法是在 php.ini 中关闭 display_error=0 ，但这样我就无法知道我的主机何时没有响应.

有办法修改错误消息吗？

Answer 1

错误处理和错误报告之间存在差异。

• 错误处理是防止最终用户看到任何堆栈跟踪、重要信息或自动生成的错误消息的过程。它还可以通过使用 try catch block 来修改脚本的运行方式。
• 错误报告定义给定脚本将报告哪些信息。

为了正确处理错误，我认为 ini_set('display_errors',0); 是更好的方法。您不希望屏幕上显示任何错误消息。

但是，我希望获得有关错误的所有可能信息，因此我使用 error_reporting(E_ALL);。

错误被写入文件 error_log 中，该文件通常与您的 index.php(或直接调用的任何 PHP 文件)位于同一级别。您还可以从 cPanel 访问它。

<小时/>

您的错误可能未被捕获，因为您的代码位于命名空间中，而您想要捕获全局命名空间PDOException。使用 \ 指示您正在查找全局 PDOException 的脚本。一旦发现错误，您可以使用PDOException class的正常方法回显您想要的内容。 .

try {
    $db = new PDO (/*connection infos*/);
}
catch (\PDOException $e) {
    switch ($e->errorCode()) {
        case 'HY000':
        // Or whatever error you are looking for
        // here it's the general error code
            mail('your@email.com','connection problem',$e->getTraceAsString());
            $db = new PDO (/*rollback connection infos of a local database*/);
            break;
    }
}

这会向您发送一封邮件，其中包含错误的痕迹，防止您的用户在告诉您出现问题时看到它。

这里是the reference PDO 语句返回的错误代码。