SQL-Fehlermeldungen deaktivieren [In Security Center 1.3 und 1.5 aktualisiert]
Verwenden Sie die Eigenschaft glide.db.loguser, um die Darstellung von SQL-Fehlermeldungen in einem Browser zu deaktivieren.
Wenn glide.db.loguser nicht auf den empfohlenen Wert „false“ festgelegt ist, können Endanwendern sensible serverseitige Fehlermeldungen angezeigt werden. Fehlermeldungen können Stack Traces und Informationen über die Struktur der Datenbank enthalten, die einem Angreifer das Wissen liefern könnten, das für eine erfolgreiche SQL-Injektion erforderlich ist, falls die Voraussetzungen erfüllt sind. Als Tiefenschutz dürfen diese Fehlermeldungen dem Endanwender nicht angezeigt werden.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.db.loguser |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Fehlerbehandlung und -protokollierung |
| Zweck | Um die Anzeige von SQL-Fehlermeldungen im Browser zu deaktivieren. |
| Typ | boolean |
| Empfohlener Wert | falsch |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 3.1 |
| Funktionale Auswirkung | Diese Korrektur deaktiviert das Rendern von SQL-Fehlermeldungen. Es gibt keine Auswirkungen auf Funktionen. |
| Sicherheitsrisiko | (Mittel) Es sollten keine vertraulichen SQL-Informationen, die einem Angreifer helfen könnten, als Teil der Fehlermeldung auf einer Webseite angezeigt werden. |
Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.