定义和用法
set_error_handler() 函数设置用户自定义的错误处理函数。 该函数用于创建运行时期间的用户自己的错误处理方法。 该函数会返回旧的错误处理程序,若失败,则返回 null。
语法
set_error_handler(error_function,error_types)
| 参数 | 描述 |
|---|---|
| error_function | 必需。规定发生错误时运行的函数。 |
| error_types | 可选。规定在哪个错误报告级别会显示用户定义的错误。默认是 "E_ALL"。 |
提示和注释
提示:如果使用了该函数,会完全绕过标准的 PHP 错误处理函数,如果必要,用户定义的错误处理程序必须终止 (die() ) 脚本。 注意:如果在脚本执行前发生错误,由于在那时自定义程序还没有注册,因此就不会用到这个自定义错误处理程序。
例子
<?php
function myException($exception) {
echo "<b>Exception:</b> " , $exception->getMessage();
}
set_exception_handler('myException');
throw new Exception('Uncaught Exception occurred');
?>Custom error: [1024] A custom error has been triggered
Error on line 19 in C:webfolder est.php
Ending Script
需要注意的是:
set_error_handler("customError") 不仅可以接受函数,还可以接受 类的方法(公开的静态方法 及 公开的非静态方法 都可以),但需要以数组形式 传递,数组的第一值为“类名”,第二个参数为“方法名”,如下代码所示:
<?php
class App{
//error handler function
function customError($errno, $errstr, $errfile, $errline) {
echo "<b>Custom error:</b> [$errno] $errstr<br />";
echo "Error on line $errline in $errfile<br />";
echo "Ending Script";
die();
}
}
//set error handler
set_error_handler(array("App","customError"));
$test=2;
//trigger error
if ($test > 1) {
trigger_error("A custom error has been triggered");
}
?>错误路径泄露
1.漏洞原因: PHP遇到错误时,就会给出出错脚本的位置、行数和原因,例如:
Notice: Use of undefined constant test - assumed ''test'' in D:interpubbigflytest.php on line 32.漏洞解决: PHP从4.1.0开始提供了自定义错误处理句柄的功能函数 set_error_handler() ,但很少数脚本编写者知道。在众多的PHP论坛中,我只看见很少一部分对此情况进行了处理。set_error_handler的使用方法如下:
string set_error_handler ( callback error_handler [, int error_types])现在我们就用自定义的错误处理把实际路径过滤掉。
<?php
//admin为管理员的身份判定,true为管理员。
//自定义的错误处理函数一定要有这4个输入变量$errno,$errstr,$errfile,$errline,否则无效。
function my_error_handler($errno, $errstr, $errfile, $errline) {
//如果不是管理员就过滤实际路径
if (!admin) {
$errfile = str_replace(getcwd(), "", $errfile);
$errstr = str_replace(getcwd(), "", $errstr);
}
switch ($errno) {
case E_ERROR:
echo "ERROR: [ID $errno] $errstr (Line: $errline of $errfile)";
echo "程序已经停止运行,请联系管理员。";
//遇到Error级错误时退出脚本
exit;
break;
case E_WARNING:
echo "WARNING: [ID $errno] $errstr (Line: $errline of $errfile)";
break;
default:
//不显示Notice级的错误
break;
}
}
//把错误处理设置为my_error_handler函数
set_error_handler("my_error_handler");
...
?>这样,就可以很好地解决安全和调试方便的矛盾了。而且你还可以花点心思,使错误提示更加美观以配合网站的风格。不过注意两点是:
(1)E_ERROR、 E_PARSE、E_CORE_ERROR、E_CORE_WARNING、E_COMPILE_ERROR、E_COMPILE_WARNING是不会 被这个句柄处理的,也就是会用最原始的方式显示出来。不过出现这些错误都是编译或PHP内核出错,在通常情况下不会发生。 (2)使用set_error_handler()后,error_reporting ()将会失效。也就是所有的错误(除上述的错误)都会交给自定义的函数处理。 其它有关于set_error_handler()的信息,大家可以参考PHP的官方手册。 下面我举个实际应用中的例子:
<index.php>
<?php
/**
* 先定义一个错误处理函数,也可以定义在其他的文件中,再用require()调用
*
* @param $errno 错误编号
* @param $errstr 错误消息
* @param $errfile 错误所在的文件
* @param $errline 错误所在的行
* @return bool
*/
function myErrorHandler($errno, $errstr, $errfile, $errline) {
// 为了安全起见,不暴露出真实物理路径,下面两行过滤实际路径
$errfile = str_replace(getcwd(), "", $errfile);
$errstr = str_replace(getcwd(), "", $errstr);
switch ($errno) {
case E_USER_ERROR:
echo "<b>My ERROR</b> [$errno] $errstr<br />";
echo "Fatal error on line $errline in file $errfile";
echo ", PHP " . PHP_VERSION . " (" . PHP_OS . ")<br />";
echo "Aborting...<br />";
exit(1);
break;
case E_USER_WARNING:
echo "<b>My WARNING</b> [$errno] $errstr<br />";
break;
case E_USER_NOTICE:
echo "<b>My NOTICE</b> [$errno] $errstr<br />";
break;
default:
echo "Unknown error type: [$errno] $errstr<br />";
break;
}
/* Don't execute PHP internal error handler */
return true;
}
// 下面开始连接MYSQL服务器,我们故意指定MYSQL端口为3333,实际为3306。
$link_id = @mysql_pconnect("localhost:3333", "root", "password");
set_error_handler(myErrorHandler);
if (!$link_id) {
trigger_error("出错了", E_USER_ERROR);
}
?>PHP错误处理函数set_error_handler()的用法
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
