最近在万网买了一款独立主机,很兴奋,于是把自己的PHP网站挂在IIS里面,感觉非常爽。
好景不长,发现老有木马注入,于是开始找找原因,首先遇到的情况,就是服务器报错,遇到PHP网站错误信息以后就提示错误代码,这样很不好,错误提示很容易被非法SQL注入利用,预想想办法关掉PHP回显错误提示,接着奇怪的事情发生了,明明将display_errors = Off 设置了,但是依然提示错误信息,于是开始扎着原因,最后终于找到解决问题的办法了,现在吧方法写出来,供大家参考:
首先:找到PHP.INI的文件
display_errors = Off //display中文意思是显示 所以display_error=off的意思就是不显示错误了!
error_reporting=E_ALL 设定错误讯息回报的等级
E_ALL能提示到出错的所有信息。E_ALL 对于开发过程来说有点太细,所以不建议使用E_ALL,最好把默认值改为:error_reporting = E_ALL & ~E_NOTICE
解决:
经查log_errors= On,据官方的说法,当这个log_errors设置为On,那么必须指定error_log文件,如果没指定或者指定的文件没有权限写入,那么照样会输 出到正常的输出渠道,那么也就使得display_errors 这个指定的Off失效,错误信息还是打印了出来。于是将log_errors = Off,问题就解决了。
这下再次打开我的网站www.fly810.com 发现已经不再提示错误信息了,终于解决了一个问题了,接下来继续寻找网站被挂马的原因,找一个漏洞补一个漏洞,呵呵。
