PHP set_error_handler()函数使用详解(示例)
程序员文章站
2022-06-22 21:06:02
我们写程序,难免会有问题(是经常会遇到问题 ),而php遇到错误时,就会给出出错脚本的位置、行数和原因。有很多人说,这并没有什么大不了。确实,在调试程序阶段,这确实是没啥的...
我们写程序,难免会有问题(是经常会遇到问题 ),而php遇到错误时,就会给出出错脚本的位置、行数和原因。有很多人说,这并没有什么大不了。确实,在调试程序阶段,这确实是没啥的,而且我认为给出错误路径是必要的。
但泄露了实际路径的后果是不堪设想的,对于某些入侵者,这个信息可是非常重要,而事实上现在有很多的服务器都存在这个问题。有些网管干脆把php配置文件中的display_errors设置为off来解决(貌似我们就是这样做的),但本人认为这个方法过于消极。
有些时候,我们的确需要php返回错误的信息以便调试。而且在出错时也可能需要给用户一个交待,甚至导航到另一页面。那么,有啥解决办法呢?
set_error_handler()
php从4.1.0开始提供了自定义错误处理句柄的功能函数set_error_handler(),但很少数脚本编写者知道。set_error_handler这个函数可以很好地防止错误路径泄露,当然还有其它更多的作用。
可以用来屏蔽错误。 出现错误一来会把一些信息暴漏给用户,极有可能成为黑客攻击你网站的工具。 二来让用户觉得你的水平很挫。
可以记下错误的信息, 及时发现一些生产环境的出现的问题。
可以做相应的处理, 出错的时候可以显示跳转到预先定义好的出错页面,提供更好的用户体验。
可以作为调试工具, 一些时候必须在生产环境调试一些东西, 但又不想影响正在使用的用户。
set_error_handler的使用方法如下:
string set_error_handler ( callback error_handler [, int error_types])
现在我们就用自定义的错误处理把实际路径过滤掉。假设有一个变量$admin,我们是用来判断访问者是否是管理员的(可以通过ip或者登录的用户id来做这个判断)
//admin为管理员的身份判定,true为管理员。
//自定义的错误处理函数一定要有这4个输入变量$errno,$errstr,$errfile,$errline,否则无效。
function my_error_handler($errno,$errstr,$errfile,$errline)
{
//如果不是管理员就过滤实际路径
if(!admin)
{
$errfile=str_replace(getcwd(),"",$errfile);
$errstr=str_replace(getcwd(),"",$errstr);
}
switch($errno)
{
case e_error:
echo "error: [id $errno] $errstr (line: $errline of $errfile) \n";
echo "程序已经停止运行,请联系管理员。";
//遇到error级错误时退出脚本
exit;
break;
case e_warning:
echo "warning: [id $errno] $errstr (line: $errline of $errfile) \n";
break;
default:
//不显示notice级的错误
break;
}
}
这样就自定义了一个错误处理函数,那么怎么把错误的处理交给这个自定义函数呢?
// 应用到类
set_error_handler(array(&$this,"apperror"));
//示例的做法
set_error_handler("my_error_handler");
so easy,这样,就可以很好地解决安全和调试方便的矛盾了。而且你还可以花点心思,使错误提示更加美观以配合网站的风格。
原作者给出了两点需要注意的地方,我也放出来吧,希望引起广大同胞们的注意:
1、e_error、e_parse、e_core_error、e_core_warning、 e_compile_error、e_compile_warning是不会被这个句柄处理的,也就是会用最原始的方式显示出来。不过出现这些错误都是编 译或php内核出错,在通常情况下不会发生。
2、使用set_error_handler()后,error_reporting ()将会失效。也就是所有的错误(除上述的错误)都会交给自定义的函数处理。
最后,出一个示例
//先定义一个函数,也可以定义在其他的文件中,再用require()调用
function myerrorhandler($errno, $errstr, $errfile, $errline)
{
//为了安全起见,不暴露出真实物理路径,下面两行过滤实际路径
$errfile=str_replace(getcwd(),"",$errfile);
$errstr=str_replace(getcwd(),"",$errstr);
switch ($errno) {
case e_user_error:
echo "<b>my error</b> [$errno] $errstr<br />\n";
echo " fatal error on line $errline in file $errfile";
echo ", php " . php_version . " (" . php_os . ")<br />\n";
echo "aborting...<br />\n";
exit(1);
break;
case e_user_warning:
echo "<b>my warning</b> [$errno] $errstr<br />\n";
break;
case e_user_notice:
echo "<b>my notice</b> [$errno] $errstr<br />\n";
break;
default:
echo "unknown error type: [$errno] $errstr<br />\n";
break;
}
/* don't execute php internal error handler */
return true;
}
//下面开始连接mysql服务器,我们故意指定mysql端口为3333,实际为3306。
$link_id=@mysql_pconnect("localhost:3333","root","password");
set_error_handler(myerrorhandler);
if (!$link_id) {
trigger_error("出错了", e_user_error);
}
但泄露了实际路径的后果是不堪设想的,对于某些入侵者,这个信息可是非常重要,而事实上现在有很多的服务器都存在这个问题。有些网管干脆把php配置文件中的display_errors设置为off来解决(貌似我们就是这样做的),但本人认为这个方法过于消极。
有些时候,我们的确需要php返回错误的信息以便调试。而且在出错时也可能需要给用户一个交待,甚至导航到另一页面。那么,有啥解决办法呢?
set_error_handler()
php从4.1.0开始提供了自定义错误处理句柄的功能函数set_error_handler(),但很少数脚本编写者知道。set_error_handler这个函数可以很好地防止错误路径泄露,当然还有其它更多的作用。
可以用来屏蔽错误。 出现错误一来会把一些信息暴漏给用户,极有可能成为黑客攻击你网站的工具。 二来让用户觉得你的水平很挫。
可以记下错误的信息, 及时发现一些生产环境的出现的问题。
可以做相应的处理, 出错的时候可以显示跳转到预先定义好的出错页面,提供更好的用户体验。
可以作为调试工具, 一些时候必须在生产环境调试一些东西, 但又不想影响正在使用的用户。
set_error_handler的使用方法如下:
复制代码 代码如下:
string set_error_handler ( callback error_handler [, int error_types])
现在我们就用自定义的错误处理把实际路径过滤掉。假设有一个变量$admin,我们是用来判断访问者是否是管理员的(可以通过ip或者登录的用户id来做这个判断)
复制代码 代码如下:
//admin为管理员的身份判定,true为管理员。
//自定义的错误处理函数一定要有这4个输入变量$errno,$errstr,$errfile,$errline,否则无效。
function my_error_handler($errno,$errstr,$errfile,$errline)
{
//如果不是管理员就过滤实际路径
if(!admin)
{
$errfile=str_replace(getcwd(),"",$errfile);
$errstr=str_replace(getcwd(),"",$errstr);
}
switch($errno)
{
case e_error:
echo "error: [id $errno] $errstr (line: $errline of $errfile) \n";
echo "程序已经停止运行,请联系管理员。";
//遇到error级错误时退出脚本
exit;
break;
case e_warning:
echo "warning: [id $errno] $errstr (line: $errline of $errfile) \n";
break;
default:
//不显示notice级的错误
break;
}
}
这样就自定义了一个错误处理函数,那么怎么把错误的处理交给这个自定义函数呢?
复制代码 代码如下:
// 应用到类
set_error_handler(array(&$this,"apperror"));
//示例的做法
set_error_handler("my_error_handler");
so easy,这样,就可以很好地解决安全和调试方便的矛盾了。而且你还可以花点心思,使错误提示更加美观以配合网站的风格。
原作者给出了两点需要注意的地方,我也放出来吧,希望引起广大同胞们的注意:
1、e_error、e_parse、e_core_error、e_core_warning、 e_compile_error、e_compile_warning是不会被这个句柄处理的,也就是会用最原始的方式显示出来。不过出现这些错误都是编 译或php内核出错,在通常情况下不会发生。
2、使用set_error_handler()后,error_reporting ()将会失效。也就是所有的错误(除上述的错误)都会交给自定义的函数处理。
最后,出一个示例
复制代码 代码如下:
//先定义一个函数,也可以定义在其他的文件中,再用require()调用
function myerrorhandler($errno, $errstr, $errfile, $errline)
{
//为了安全起见,不暴露出真实物理路径,下面两行过滤实际路径
$errfile=str_replace(getcwd(),"",$errfile);
$errstr=str_replace(getcwd(),"",$errstr);
switch ($errno) {
case e_user_error:
echo "<b>my error</b> [$errno] $errstr<br />\n";
echo " fatal error on line $errline in file $errfile";
echo ", php " . php_version . " (" . php_os . ")<br />\n";
echo "aborting...<br />\n";
exit(1);
break;
case e_user_warning:
echo "<b>my warning</b> [$errno] $errstr<br />\n";
break;
case e_user_notice:
echo "<b>my notice</b> [$errno] $errstr<br />\n";
break;
default:
echo "unknown error type: [$errno] $errstr<br />\n";
break;
}
/* don't execute php internal error handler */
return true;
}
//下面开始连接mysql服务器,我们故意指定mysql端口为3333,实际为3306。
$link_id=@mysql_pconnect("localhost:3333","root","password");
set_error_handler(myerrorhandler);
if (!$link_id) {
trigger_error("出错了", e_user_error);
}