Deaktivieren Sie SQL-Fehlermeldungen [Aktualisiert in Security Center 1,3 und 1,5]
Verwenden Sie glide.db.loguserEigenschaft zum Deaktivieren des Renderings von SQL-Fehlermeldungen in einem Browser.
Wenn glide.db.loguserIst nicht auf den empfohlenen Wert „falsch“ festgelegt, dann können Endanwendern vertrauliche serverseitige Fehlermeldungen angezeigt werden. Fehlermeldungen können Stapelverfolgungen und Informationen zur Struktur der Datenbank enthalten, die einem Angreifer das Wissen liefern könnten, das für die erfolgreiche SQL-Injection erforderlich ist, wenn die Voraussetzungen vorhanden sind. Als Tiefenverteidigung sollten diese Fehlermeldungen dem Endanwender nicht angezeigt werden.
Weitere Informationen
| Attribut | Beschreibung |
|---|---|
| Eigenschaftsname | glide.db.loguser |
| Konfigurationstyp | Systemeigenschaften (/sys_properties_list.do) |
| Kategorie | Fehlerbehandlung und -Protokollierung |
| Zweck | Dient zum Deaktivieren der Anzeige von SQL-Fehlermeldungen im Browser. |
| Typ | Boolean |
| Empfohlener Wert | falsch |
| Standardwert | wahr |
| Sicherheitsrisikobewertung | 3.1 |
| Funktionale Auswirkung | Diese Korrektur deaktiviert das Rendern von SQL-Fehlermeldungen. Es gibt keine Auswirkungen auf eine Funktionalität. |
| Sicherheitsrisiko | (Mittel) auf einer Webseite sollten keine vertraulichen SQL-Informationen angezeigt werden, die einem Angreifer helfen könnten. |
Weitere Informationen zum Hinzufügen oder Erstellen einer Systemeigenschaft finden Sie unter Add a system property.