标签：常见错误

PHP的错误处理机制允许开发者在代码执行出错时获得提示信息，这些错误信息根据严重程度被划分为不同的级别， PHP的错误级别主要分为以下几种：,1、 通知（E_NOTICE）：,这是最低级别的错误，表示脚本遇到一些可能会引起问题的情况，但并非错误，访问一个未定义的变量或者给未声明的数组索引赋值，默认情况下，E_NOTICE级别的错误不会显示给用户，因为它们通常是脚本正常执行过程中的预期行为。,“`php,$var = $undefinedVar; // E_NOTICE: Undefined variable,“`,2、 警告（E_WARNING）：,这类错误通常表示脚本遇到一些问题，但PHP会继续执行，警告错误应该被注意，因为它们可能会在将来的PHP版本中变成更严重的错误，包含或要求一个不存在的文件，或者传递错误的数据类型给函数。,“`php,include(‘nonexistentfile.php’); // E_WARNING: include(): Failed opening ‘nonexistentfile.php’ for inclusion,“`,3、 错误（E_ERROR）：,这是严重的错误，当脚本遇到此类错误时，将无法继续执行，试图调用一个不存在的函数，或者内存分配失败。,“`php,unknownFunction(); // E_ERROR: Call to undefined function unknownFunction(),“`,4、 解析错误（E_PARSE）：,这类错误发生在脚本编译阶段，通常是由于语法错误导致的，解析错误是非常严重的，因为它们阻止了脚本的执行。,“`php,if ($condition) // E_PARSE: syntax error, unexpected ‘)’,“`,5、 致命错误（E_FATAL）：,这个级别实际上是E_ERROR的一个子集，表示在错误发生后脚本无法继续执行，从PHP 5.2.0开始，所有的E_ERROR级别的错误都被认为是致命错误。,6、 用户提示（E_USER_ERROR、E_USER_WARNING、E_USER_NOTICE）：,这些错误是由用户触发的，通过使用trigger_error()函数，它们可以用来给开发者或用户提供自定义的警告、错误和通知。,“`php,trigger_error(‘User error’, E_USER_ERROR); // E_USER_ERROR: User error,“`,以下是关于这些错误级别的更多详细信息：, E_STRICT：,这个级别用于指明代码中潜在的不好的实践或与将来PHP版本不兼容的代码，使用已废弃的函数或特性。, E_DEPRECATED：,当代码使用了不建议使用（已废弃）的特性或函数时，会触发这个级别的错误。, E_USER_DEPRECATED：,与E_DEPRECATED相似，但这是由用户触发的废弃警告。, E_ALL：,这个特殊的级别包括了所有错误和警告，除了E_STRICT，在实际开发中，通常不会在生产环境中使用E_ALL，因为它会输出所有错误，包括不太重要的通知。,对于错误处理，PHP提供了几种机制：,1、 错误报告指令：,可以使用 error_reporting()函数来设置哪些级别的错误应该被报告，也可以在 php.ini文件中使用 error_reporting指令进行设置。,2、 错误日志：,可以通过 ini_set()或 php.ini中的 log_errors指令，将错误日志记录到服务器上的文件中。,3、 错误显示：, display_errors指令决定是否将错误信息作为输出的一部分显示给用户。,4、 自定义错误处理：,可以使用 set_error_handler()和 set_exception_handler()函数来定义自定义的错误处理函数。,5、 错误捕获：,可以使用 try和 catch块捕获异常。,在开发过程中，合理地处理错误非常重要，应该尽量捕获和处理所有可能出现的错误，避免在用户面前显示敏感信息，同时也要确保在开发阶段能够获得足够的错误信息以便调试。,为了确保代码的健壮性和可维护性，推荐的做法是在生产环境中只报告E_ERROR、E_WARNING和E_PARSE级别的错误，并确保所有的E_NOTICE和E_STRICT级别的错误在部署到生产环境之前得到解决，这样，不仅可以提高用户体验，还能确保代码的稳定性和安全性。, ,

MSSQL（Microsoft SQL Server）是一种广泛使用的数据库管理系统，它支持多种报错注入技术， 报错注入是一种攻击技术，利用数据库错误信息获取敏感数据，以下是MSSQL常见报错注入技术的详细分析。,1、使用@@version、@@servername、@@language等系统变量,在MSSQL中，可以通过查询系统变量来获取数据库版本、服务器名称和语言等信息，以下是一个示例：,该查询会在错误信息中返回MSSQL的版本信息，类似地，可以使用@@servername和@@language获取服务器名称和语言信息。,2、使用子查询和错误函数,MSSQL支持使用子查询和错误函数进行报错注入，常见的错误函数包括：,Error_Number()：返回错误号。,Error_Message()：返回错误消息。,Error_Line()：返回发生错误的行号。,Error_Procedure()：返回发生错误的存储过程名称。,Error_State()：返回错误状态号。,以下是一个使用子查询和错误函数的示例：,该查询会返回包含“version”的错误消息，从而获取MSSQL版本信息。,3、使用DB_NAME()和@@DBNAME获取数据库名称,DB_NAME()和@@DBNAME函数可以用于获取当前数据库名称，以下是一个示例：,或者,这两个查询都会在错误信息中返回当前数据库名称。,4、使用SERVERPROPERTY()函数,SERVERPROPERTY()函数可以获取服务器属性信息，,该查询将返回MSSQL的产品版本信息。,5、使用master.dbo.xp_msver系统存储过程,master.dbo.xp_msver是一个系统存储过程，可以用于获取MSSQL的版本和版本信息，以下是一个示例：,该查询将返回MSSQL的版本和版本信息。,6、使用MSSQL扩展存储过程,MSSQL支持扩展存储过程，这些过程以xp_开头，攻击者可以利用这些过程执行系统命令或读取系统文件，以下是一个示例：,该查询将执行系统命令“dir”，并返回当前目录下的文件列表。,7、使用MSSQL信息架构视图,MSSQL提供了许多信息架构视图，如sys.objects、sys.columns等，可以用于获取数据库结构信息，以下是一个示例：,该查询将返回数据库中的所有对象。,8、利用堆叠查询和动态SQL,堆叠查询（Batch）允许在一个查询中执行多个SQL语句，结合动态SQL，可以实施更复杂的报错注入攻击，以下是一个示例：,该查询将执行动态SQL，并返回数据库中的所有对象。,MSSQL报错注入攻击技术多样，攻击者可以结合多种方法获取数据库结构、敏感数据和系统信息，为了防范报错注入攻击，开发人员应遵循以下原则：,对用户输入进行严格的验证和过滤。,使用参数化查询或存储过程。,禁用不必要的数据库功能，如扩展存储过程。,限制数据库账号权限，避免使用高权限账号执行查询。,定期更新数据库系统和应用程序，修复已知漏洞。,通过以上措施，可以降低MSSQL数据库遭受报错注入攻击的风险。,,’; select @@version;,’; select * from (select Error_Message() as ErrorMessage) as t where ErrorMessage like ‘%version%’;,’; select DB_NAME();,’; select @@DBNAME;,’; select SERVERPROPERTY(‘ProductVersion’);