thinkPhp set_error_handler()函数的用法

作者:袖梨 2022-06-25

定义和用法
set_error_handler() 函数设置用户自定义的错误处理函数。

该函数用于创建运行时期间的用户自己的错误处理方法。

该函数会返回旧的错误处理程序,若失败,则返回 null。

语法
set_error_handler(error_function,error_types)

参数 描述
error_function 必需。规定发生错误时运行的函数。
error_types 可选。规定在哪个错误报告级别会显示用户定义的错误。默认是 “E_ALL”。

提示和注释
提示:如果使用了该函数,会完全绕过标准的 PHP 错误处理函数,如果必要,用户定义的错误处理程序必须终止 (die() ) 脚本。

注意:如果在脚本执行前发生错误,由于在那时自定义程序还没有注册,因此就不会用到这个自定义错误处理程序。

先来看一下thinkphp里对appError这个函数的定义

 代码如下 复制代码
    public function appError($errno, $errstr, $errfile, $errline)
    {
      switch ($errno) {
          case E_ERROR:
          case E_USER_ERROR:
              $errorStr = "错误:[$errno] $errstr ".basename($errfile)." 第 $errline 行.n";
              if(C('WEB_LOG_RECORD')){
                 Log::record($errorStr);
                 Log::save();
              }
              halt($errorStr);
              break;
          case E_STRICT:
          case E_USER_WARNING:
          case E_USER_NOTICE:
          default:
            $errorStr = "注意:[$errno] $errstr ".basename($errfile)." 第 $errline 行.n";
            Log::record($errorStr);
             break;
      }
    }

不过我对这个写法还是抱有疑义,为啥不直接用if else搞定呢?因为貌似看这个逻辑,if else足以,有些头晕。
已经在论坛上面向高手们请教了,不过现在还没有回复,貌似TP的论坛上的高手反应都不快,或者是我的问题太过浅显了?呵。
说正题,看到这个函数里面的这些错误方式,以及init里的set_error_handler,
因为我没有用过这个函数,所以就要去问一下google了。我不觉得这是丢人的事哈。
下面把我认为最好的一篇文章转载一下,抱歉,他原来的格式有些乱,我稍微整理了一下。
原文地址:set_error_handler() 用法 作者:白天的影子
set_error_handler这个函数的作用是为了防止错误路径泄露
何为错误路径泄露呢?
我们写程序,难免会有问题(是经常会遇到问题  ),而PHP遇到错误时,就会给出出错脚本的位置、行数和原因
有很多人说,这并没有什么大不了。确实,在调试程序阶段,这确实是没啥的,而且我认为给出错误路径是必要的。
但泄露了实际路径的后果是不堪设想的,对于某些入侵者,这个信息可是非常重要,而事实上现在有很多的服务器都存在这个问题。
有些网管干脆把PHP配置文件中的display_errors设置为Off来解决(貌似我们就是这样做的),但本人认为这个方法过于消极。
有些时候,我们的确需要PHP返回错误的信息以便调试。而且在出错时也可能需要给用户一个交待,甚至导航到另一页面。
那么,有啥解决办法呢?
PHP从4.1.0开始提供了自定义错误处理句柄的功能函数set_error_handler(),但很少数脚本编写者知道。
很不好意思的是,我就不知道,刚翻了google才知道,惭愧啊。。
在众多的PHP论坛中,我只看见很少一部分对此情况进行了处理。(确实有一些牛逼论坛也会有这个问题啊)
set_error_handler的使用方法如下:
string set_error_handler ( callback error_handler [, int error_types])
现在我们就用自定义的错误处理把实际路径过滤掉。
例如:假设有一个变量$admin,我们是用来判断访问者是否是管理员的(可以通过IP或者登录的用户id来做这个判断)

 代码如下 复制代码

//admin为管理员的身份判定,true为管理员。
//自定义的错误处理函数一定要有这4个输入变量$errno,$errstr,$errfile,$errline,否则无效。
function my_error_handler($errno,$errstr,$errfile,$errline)
{
    //如果不是管理员就过滤实际路径
    if(!admin)
    {
        $errfile=str_replace(getcwd(),"",$errfile);
        $errstr=str_replace(getcwd(),"",$errstr);
    }
    switch($errno)
    {
        case E_ERROR:
        echo "ERROR: [ID $errno] $errstr (Line: $errline of $errfile) n";
        echo "程序已经停止运行,请联系管理员。";
        //遇到Error级错误时退出脚本
        exit;
        break;

        case E_WARNING:
        echo "WARNING: [ID $errno] $errstr (Line: $errline of $errfile) n";
        break;

        default:
        //不显示Notice级的错误
        break;
    }

}这样就自定义了一个错误处理函数,和thinkphp的appError是一样的。呵呵。
那么怎么把错误的处理交给这个自定义函数呢?
//thinkphp 的做法
set_error_handler(array(&$this,"appError"));
//示例的做法
set_error_handler("my_error_handler");so easy,这样,就可以很好地解决安全和调试方便的矛盾了。而且你还可以花点心思,使错误提示更加美观以配合网站的风格。
原作者给出了两点需要注意的地方,我也放出来吧,希望引起广大同胞们的注意:
E_ERROR、E_PARSE、E_CORE_ERROR、E_CORE_WARNING、E_COMPILE_ERROR、E_COMPILE_WARNING是不会被这个句柄处理的,也就是会用最原始的方式显示出来。不过出现这些错误都是编译或PHP内核出错,在通常情况下不会发生。
使用set_error_handler()后,error_reporting ()将会失效。也就是所有的错误(除上述的错误)都会交给自定义的函数处理。
最后,原作者又给出了一个示例(真是个认真负责的好人哈。呵呵)
//先定义一个函数,也可以定义在其他的文件中,再用require()调用

 代码如下 复制代码

function myErrorHandler($errno, $errstr, $errfile, $errline)
{
     //为了安全起见,不暴露出真实物理路径,下面两行过滤实际路径
    $errfile=str_replace(getcwd(),"",$errfile);
    $errstr=str_replace(getcwd(),"",$errstr);

    switch ($errno) {
    case E_USER_ERROR:

     echo "My ERROR [$errno] $errstr
n";
        echo "  Fatal error on line $errline in file $errfile";
        echo ", PHP " . PHP_VERSION . " (" . PHP_OS . ")
n";
        echo "Aborting...
n";
        exit(1);
        break;

    case E_USER_WARNING:
        echo "My WARNING [$errno] $errstr
n";
        break;

    case E_USER_NOTICE:
        echo "My NOTICE [$errno] $errstr
n";
        break;

    default:
        echo "Unknown error type: [$errno] $errstr
n";
        break;
    }

    /* Don't execute PHP internal error handler */
    return true;
}

//下面开始连接MYSQL服务器,我们故意指定MYSQL端口为3333,实际为3306。

 代码如下 复制代码
$link_id=@mysql_pconnect("localhost:3333","root","password");
set_error_handler(myErrorHandler);
if (!$link_id) {
    trigger_error("出错了", E_USER_ERROR);
    }

嗯,根据上面的那些解释,以及原作者认真负责的态度,我想如果我还学不会这个set_error_handler函数,那么我真该去撞墙了

 

错误路径泄露
1.漏洞原因:

PHP遇到错误时,就会给出出错脚本的位置、行数和原因,例如:

Notice: Use of undefined constant test – assumed ”test” in D:interpubbigflytest.php on line 3

有很多人说,这并没有什么大不了。但泄露了实际路径的后果是不堪设想的,对于某些入侵者,这个信息可是非常重要,而事实上现在有很多的服务器都存在这个问题。

有些网管干脆把PHP配置文件中的 display_errors 设置为 Off 来解决,但本人认为这个方法过于消极。有些时候,我们的确需要PHP返回错误的信息以便调试。而且在出错时也可能需要给用户一个交待,甚至导航到另一页面。

2.漏洞解决:

PHP从4.1.0开始提供了自定义错误处理句柄的功能函数 set_error_handler() ,但很少数脚本编写者知道。在众多的PHP论坛中,我只看见很少一部分对此情况进行了处理。set_error_handler的使用方法如下:

string set_error_handler ( callback error_handler [, int error_types])

现在我们就用自定义的错误处理把实际路径过滤掉。

 代码如下 复制代码

//admin为管理员的身份判定,true为管理员。
//自定义的错误处理函数一定要有这4个输入变量$errno,$errstr,$errfile,$errline,否则无效。
function my_error_handler($errno, $errstr, $errfile, $errline) {
 //如果不是管理员就过滤实际路径
 if (!admin) {
  $errfile = str_replace(getcwd(), "", $errfile);
  $errstr = str_replace(getcwd(), "", $errstr);
 }

 switch ($errno) {
  case E_ERROR:
   echo "ERROR: [ID $errno] $errstr (Line: $errline of $errfile)";
   echo "程序已经停止运行,请联系管理员。";
   //遇到Error级错误时退出脚本
   exit;
  break;
  case E_WARNING:
   echo "WARNING: [ID $errno] $errstr (Line: $errline of $errfile)";
  break;
  default:
  //不显示Notice级的错误
  break;
 }
}

//把错误处理设置为my_error_handler函数
set_error_handler("my_error_handler");
...
?>

这样,就可以很好地解决安全和调试方便的矛盾了。而且你还可以花点心思,使错误提示更加美观以配合网站的风格。不过注意两点是:

(1)E_ERROR、 E_PARSE、E_CORE_ERROR、E_CORE_WARNING、E_COMPILE_ERROR、E_COMPILE_WARNING是不会 被这个句柄处理的,也就是会用最原始的方式显示出来。不过出现这些错误都是编译或PHP内核出错,在通常情况下不会发生。

(2)使用set_error_handler()后,error_reporting ()将会失效。也就是所有的错误(除上述的错误)都会交给自定义的函数处理。
其它有关于set_error_handler()的信息,大家可以参考PHP的官方手册。

下面我举个实际应用中的例子:

 代码如下 复制代码

//先定义一个函数,也可以定义在其他的文件中,再用require()调用
function myErrorHandler($errno, $errstr, $errfile, $errline) {

 //为了安全起见,不暴露出真实物理路径,下面两行过滤实际路径
 $errfile = str_replace(getcwd(), "", $errfile);
 $errstr = str_replace(getcwd(), "", $errstr);

 switch ($errno) {
  case E_USER_ERROR:
   echo "My ERROR [$errno] $errstr
n";
   echo "Fatal error on line $errline in file $errfile";
   echo ", PHP " . PHP_VERSION . " (" . PHP_OS . ")
n";
   echo "Aborting...
n";
   exit(1);
  break;

  case E_USER_WARNING:
   echo "My WARNING [$errno] $errstr
n";
  break;

  case E_USER_NOTICE:
   echo "My NOTICE [$errno] $errstr
n";
  break;

  default:
   echo "Unknown error type: [$errno] $errstr
n";
  break;
 }

 /* Don't execute PHP internal error handler */
 return true;
}

//下面开始连接MYSQL服务器,我们故意指定MYSQL端口为3333,实际为3306。
$link_id = @mysql_pconnect("localhost:3333", "root", "password");
set_error_handler(myErrorHandler);
if (!$link_id) {
 trigger_error("出错了", E_USER_ERROR);
}
?>

需要注意的是:
set_error_handler(“customError”) 不仅可以接受函数,还可以接受 类的方法(公开的静态方法 及 公开的非静态方法 都可以),但需要以 数组形式 传递,数组的第一值为“类名”,第二个参数为“方法名”,如下代码所示:

 代码如下 复制代码

class App{
 //error handler function
 function customError($errno, $errstr, $errfile, $errline) {
  echo "Custom error: [$errno] $errstr
";
  echo "Error on line $errline in $errfile
";
  echo "Ending Script";
  die();
 }
}

//set error handler
set_error_handler(array("App","customError"));

$test=2;

//trigger error
if ($test > 1) {
 trigger_error("A custom error has been triggered");
}
?>

相关文章

精彩推荐