Desabilitar mensagens de erro SQL [Atualizado na Central de segurança 1,3 e 1,5]
Utilize a propriedade glide.db.loguser para desabilitar a renderização de mensagens de erro de SQL em um navegador.
Se glide.db.logusernão está definido com o valor recomendado de falso, então mensagens de erro confidenciais do lado do servidor podem ser exibidas para os usuários finais. As mensagens de erro podem incluir rastreamentos de pilha e informações sobre a estrutura do banco de dados que podem fornecer ao invasor o conhecimento necessário para executar uma injeção SQL bem-sucedida, caso as pré-condições existam. Essas mensagens de erro não devem ser exibidas para o usuário final como defesa em profundidade.
Mais informações
| Atributo | Descrição |
|---|---|
| Nome da propriedade | glide.db.loguser |
| Tipo de configuração | Propriedades do sistema (/sys_properties_list.do) |
| Categoria | Manipulação de erros e registro em log |
| Finalidade | Desabilitar a exibição de mensagens de erro de SQL no navegador. |
| Tipo | Booliano |
| Valor recomendado | falso |
| Valor padrão | verdadeiro |
| Classificação de risco de segurança | 3,1 |
| Impacto funcional | Esta correção desabilita a renderização de mensagens de erro SQL. Não há impacto em nenhuma funcionalidade. |
| Risco à segurança | (Médio) Nenhuma informação confidencial do SQL que possa ajudar um invasor deve aparecer como parte de uma mensagem de erro em uma página da Web. |
Para saber mais sobre como adicionar ou criar uma propriedade do sistema, consulte Add a system property.