Witam. Jak w temacie. W jaki sposób radzicie sobie z obsługą błędów? Wiadomo że komunikaty podające pełną ścieżkę do pliku może być niebezpieczne. Dlatego chciałbym poznać różne sposoby na radzenie sobie z tym problemem. Tak więc zapraszam do dyskusji.

Ja stosuje wzorzec Strategia do obslugi bledow. Odpowiedz zalezy od rodzaju bledu i "trybu" uzytkownika tzn. co innego zobacze ja przy pisaniu nowych linijek kodu a co innego uzytkownik koncowy. Przydatne jest tutaj buforowanie contentu.

[PHP] pobierz, plaintext 
<?php
if(!isset($_GET['pcn_id'])) {
	echo 'Brak danych o PCN';
	exit();
} else {
	$pcn_id_from_get=$_GET['pcn_id'];
	$query="SELECT user_login FROM PCN WHERE id = '$pcn_id_from_get'";
	if(!@$result = odbc_exec($dbc, $query)) {
		echo 'Probelm z polaczeniem z baza danych';
		exit();
	} else {
		odbc_fetch_row($result);
		$user_login_from_sql = odbc_result($result,'user_login');
		if ($user_login_from_sql == NULL) {
			echo 'Brak danchy o PCN';
			exit();
		}
	}
}
?>
[PHP] pobierz, plaintext 

Przykladowy kod z obsluga bledow.
Jak nie chcesz zeby php wypluwalo szczegoly bledow przed "newralgicznymi" punktami w skrypcie dodaj @
Np.
@$result = odbc_exec($dbc, $query)
Jak jest tu małpa to php nie wyswiewtli zadnych bledow ze nie udalo sie zapytanie do bazy. I samemu trzeba zadbac o ten blad ;]
dlatego to w if'ie mam.

tu chyba bardziej chodzi o

[PHP] pobierz, plaintext 
<?php
try{...}
catch{...}
?>
[PHP] pobierz, plaintext 

ja np. w mam tablice w klasie $errors

gdzie dopisuje błędy.
potem przy wyświetlaniu strony uruchamiam metode show_errors();
która najpierw sprawdza

[PHP] pobierz, plaintext 
<?php
if(count($this->errors)>0) {
....
}
?>
[PHP] pobierz, plaintext 

i wyświetla diva z błędami.

@MMX3 a możesz pokazać trochę dokładniejszy przykład? I czy to pozwala na to niebezpieczne pokazywanie ścieżki użytkownikowi?

p.s. Chodzi mi o każdą metodę obsługi błędów:)

Witam. Rozwinę troszeczkę wypowiedź użytkownika 'Mordoran'. Jak już wspomniał Mordoran, jeżeli nie chcesz ujrzeć błedu, który generuje interpreter PHP, to dajesz @ przed funkcją, bądź wywołaniem metody obiektu. Chcąc dodać własny komunikat ów błedu możesz zrobić w ten sposób:

[PHP] pobierz, plaintext 
<?php
$rConnection = @mysql_connect( 'localhost' , 'root' , '' ); //przykładowa funkcja
 
if( !$rConnection ) //warunek 'czy wystąpił błąd'
{
die( 'Wystąpił błąd MySQL: ' . mysql_error() ); //tutaj dowolna instrukcja, np: echo , die() , exit() , lub co tam chcesz
}
?>
[PHP] pobierz, plaintext 

,
lub w ten:

[PHP] pobierz, plaintext 
<?php
$rConnection = @mysql_connect( 'localhost' , 'root' , '' ) //przykładowa funkcja
or die( 'Wystąpił błąd MySQL: ' . mysql_error() ); //tutaj występuje wyrażenie or w przypadku błedu zostanie wywołana funkcja zdefiniowana po wyrażeniu. W tym przypadku die();
}
?>
[PHP] pobierz, plaintext 

.

Myślę, że pomogłem.
Pozdrawiam

Jakbyście mogli mi wyjaśnić jedną rzecz. Otóż załóżmy, że sobie usuniemy te niebezpieczne komunikaty, ale my chcemy wiedzieć co i gdzie się sypnęło...warto zrobić logi. Ale nie wiem czy dobrze to rozkminiłem. Czy najlepiej wrzucać to sobie do jakieś pliku: np error_log.txt i update`ować kiedy wystąpi błąd?

@Mordoran, sposób z @ jest tragiczny (nawet nie wiem czemu to nie jest jeszcze deprecated).

Najlepsza obsługa błędów to oczywiście wyjątki. Jednak PHP jest na tyle "dobre", że nie wszystko rzuca wyjątkiem. W związku z tym masz 2 wyjścia: albo display_errors (lub jakoś tak) off i szukanie informacji o błędach w error.log (bo tam apache zapisuje wszystko) albo tam gdzie się da korzystanie z klas (PDO,SPL itp itd) łapanie wyjątków. To drugie ma tę wadę, że niektóre rzeczy trzeba będzie obudować w klasy samemu. Ale za to ma też dużą zaletę. Potężny debug backtrace.

A poza tym tak z ciekawości... Jakie znaczenie ma to, że ja będę wiedział, że aplikacja znajduje się w katalogu /home/user/public_html/... czy jakimkolwiek innym? Co mi to da?

pokazywanie pełnej ścieżki do skyptów twojej aplikacji jest bardzo niebezpieczne. Daje to stanowczo za dużo informacji osobie które mogłabny przeprowadzić atak. Wie już gdzie ma czego i w jaki sposób szukać. Możesz to porównać do drzwi z kilkoma zamkami. Wywalanie takich komunikatów to tak jakbyś z części z tych zamków wogóle nie korzystał. A po drugi jest to nieestetyczne i nieładne

Fixus: nie wiem skąd masz takie informacje. Tak na prawdę co to za zabezpieczenie ukrycie ścieżek.

Jeżeli aplikacja jest napisana dobrze, to nawet znając ścieżki nie jesteś w stanie do niej włamać się przez WWW. Natomiast jeśli chodzi o atak na serwer, to tak czy siak, jeżeli osoba atakująca będzie miała roota, to będzie znała Twoje ścieżki i już.

[PHP] pobierz, plaintext 
<?php
function error_msg($type, $msg, $file, $line)
{
	print "Przepraszamy, ale wystąpił błąd.<br />\n";
}
set_error_handler("error_msg");
?>
[PHP] pobierz, plaintext 

i dalej w kodzie:

[PHP] pobierz, plaintext 
<?php
$conn = mysql_connect("localhost", "root", "") or trigger_error("Error", E_USER_WARNING);
?>
[PHP] pobierz, plaintext 

lub

[PHP] pobierz, plaintext 
<?php
$conn = mysql_connect("localhost", "root", "") or die();
?>
[PHP] pobierz, plaintext 

Lub aby błąd wyświetlany był tylko raz:

[PHP] pobierz, plaintext 
<?php
class ErrorHandler
{
	static $err;
 
	static function error_msg($type, $msg, $file, $line)
	{
		if (self::$err == null) {
			self::$err = true;
			print "Przepraszamy, ale wystąpił błąd związany z połączeniem do bazy danych.<br />\n";
		}
	}
}
function err_msg($type, $msg, $file, $line)
{
	ErrorHandler::error_msg($type, $msg, $file, $line);
}
set_error_handler(err_msg);
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
try {
// kod, który może zwrócić wyjątek (Exception)
} catch (Exception $e){
   throw Exception ($e->getMessage());
}
?>
[PHP] pobierz, plaintext 

Ten kod przekazuje wyjątek dalej.
Na ostatniej warstwie zbierasz wszystkie wyjątki i robisz z nimi co chcesz

Ja posiadam swoją klasę która w zależności od treści błędu wypluwa ładnego htmla.