据我了解,至少在PHP v7.3中,这是“最佳实践”PHP error_reporting 值的适用于一个生产系统:
ini_set('error_reporting', E_ALL & ~E_NOTICE & ~E_STRICT & ~E_DEPRECATED);
我注意到这个报告提到了 E_WARNING
。
我对忽略警告的缺点很感兴趣,例如:
ini_set('error_reporting', E_ALL & ~E_NOTICE & ~E_STRICT & ~E_DEPRECATED & ~E_WARNING);
这样会将警告信息掩盖,长远来看,这将对项目的代码质量产生不良影响。目前为止,忽略警告显然是一种不好的做法。
但是,让我们再加入另一个因素。通常配置自定义PHP错误处理程序以在引发报告的错误时停止应用程序是很常见的。例如,Yii1的handleError函数会终止应用程序。我想许多PHP框架采用了同样的方法。这实际上会造成一些混淆,因为php文档说:
但是(至少在Yii1中),如果E_WARNING 运行时警告(非致命错误)。脚本的执行不会停止。
E_WARNING
包含在error_reporting值中,则脚本的执行将被终止(由于yii自定义错误处理程序)。在我的当前项目中,在测试系统上报告了
E_WARNING
,但目前未在生产环境中报告,如果修复所有警告需要大约80个小时,以便我们可以启用它并遵循最佳实践。我认为这值得努力,并将向团队提议,但我需要提出一些有利于项目的好处,否则ROI将被认为太低。到目前为止,我只有两个好处:
- 从长远来看,这将是代码质量最好的选择。
- 如果警告发生而不终止可能会存在安全问题。我能想到的一个例子是,警告可能与无效的正则表达式有关(过去已知无效的正则表达式容易受到攻击)。有时用户输入也会用于正则表达式,这肯定会打开攻击通道。
总结一下我的问题(TL;DR):
如果
E_WARNING
发生,不停止应用程序会有什么危险?