三，PHP中错误日志display_errors与error_reporting配置

1，display_errors

display_errors 
错误回显，一般常用语开发模式，但是很多应用在正式环境中也忘记了关闭此选项。错误回显可以暴露出非常多的敏感信息，为攻击者下一步攻击提供便利。推荐关闭此选项。 
display_errors = On 
开启状态下，若出现错误，则报错，出现错误提示 
dispaly_errors = Off 
关闭状态下，若出现错误，则提示：服务器错误。但是不会出现错误提示 
log_errors 
在正式环境下用这个就行了，把错误信息记录在日志里。正好可以关闭错误回显。 
对于PHP开发人员来说，一旦某个产品投入使用，那么第一件事就是应该将display_errors选项关闭，以免因为这些错误所透露的路径、数据库连接、数据表等信息而遭到黑客攻击。 其次开启log_errors。

在php.ini中配置如下：

display_errors = Off
log_errors = On
error_log = /var/log/php-error.log

另外也可以设定error_log = syslog，使这些错误信息记录到操作系统的日志里。

有时会遇到以下问题：

PHP设置文件php.ini中明明已经设置display_errors = Off，但是在运行过程中，网页上还是会出现错误信息。 
解决： 
经查log_errors= On，据官方的说法，当这个log_errors设置为On，那么必须指定error_log文件，如果没指定或者指定的文件没有权限写入，那么照样会输出到正常的输出渠道，那么也就使得display_errors 这个指定的Off失效，错误信息还是打印了出来。于是将log_errors = Off，问题就解决了。

2，error_reporting 设定错误讯息回报的等级 

error_reporting可以设置的参数，如下：

错误报告是位字段。可以将数字加起来得到想要的错误报告等级。

值	常量	描述
1	E_ERROR	致命的运行错误。错误无法恢复，暂停执行脚本
2	E_WARNING	运行时警告(非致命性错误)。非致命的运行错误，脚本执行不会停止
4	E_PARSE	编译时解析错误。解析错误只由分析器产生
8	E_NOTICE	运行时提醒(这些经常是你代码中的bug引起的，也可能是有意的行为造成的。)
16	E_CORE_ERROR	PHP启动时初始化过程中的致命错误
32	E_CORE_WARNING	PHP启动时初始化过程中的警告(非致命性错)
64	E_COMPILE_ERROR	编译时致命性错。这就像由Zend脚本引擎生成了一个E_ERROR
128	E_COMPILE_WARNING	编译时警告(非致命性错)。这就像由Zend脚本引擎生成了一个E_WARNING警告
256	E_USER_ERROR	用户自定义的错误消息。这就像由使用PHP函数trigger_error（程序员设置E_ERROR）
512	E_USER_WARNING	用户自定义的警告消息。这就像由使用PHP函数trigger_error（程序员设定的一个E_WARNING警告）
1024	E_USER_NOTICE	用户自定义的提醒消息。这就像一个由使用PHP函数trigger_error（程序员一个E_NOTICE集）
2048	E_STRICT	编码标准化警告。允许PHP建议如何修改代码以确保最佳的互操作性向前兼容性
4096	E_RECOVERABLE_ERROR	开捕致命错误。这就像一个E_ERROR，但可以通过用户定义的处理捕获（又见set_error_handler（））
8191	E_ALL	所有的错误和警告(不包括 E_STRICT) (E_STRICT will be part of E_ALL as of PHP 6.0)

在php.ini中配置实例如下：

error_reporting = E_ALL & ~E_NOTICE ; 显示所有的错误，除了提醒
error_reporting = E_COMPILE_ERROR|E_ERROR|E_CORE_ERROR ; 仅显示编译时致命性错误
error_reporting=E_ERROR :只会报告致命性错误

在php程序中配置如下：

<?php
//禁用错误报告
error_reporting(0);

//报告运行时错误
error_reporting(E_ERROR | E_WARNING | E_PARSE);

//报告所有错误
error_reporting(E_ALL);
?>