Sécurité PHP : Astuce 2

Ce billet est une traduction du billet "PHP Security Tip #2" que vous pouvez trouver sur la devZone du site de Zend. Je ne suis pas un spécialiste de la traduction, et j'ai appliqué un style peut-être trop personnel, merci de votre compréhension et bonne lecture !

L'astuce d'aujourd'hui est simple, mais souvent laissée de côté dans les environnements de production.

Assurez-vous de ne pas afficher les erreurs et les failles potentielles.

Il vous suffit de paramétrer le display_errors à off dans le php.ini de votre serveur de production. Cela protégera votre site des intrus qui cherchent à trouver des informations en exploitant des failles. Par défaut, display_errors est à on.

Vous pouvez trouver plus d'informations sur les options de configuration relatives aux erreurs dans la section "Gestion des erreurs" du manuel PHP.

Commentaires

Euh j'ai toujours appris de laisser le display_errors à On mais de logguer les erreurs générées.

Ben ouais, je trouve ca plus logique moi

> "souvent laissée de côté dans les environnements de production".

Tout est là, il suffit de regarder la config des serveurs de production (à votre stage par exemple, ah? pardon Palleas, t'es retournée au goulag...).

Ce billet n'est pas vraiment destiné à vous, bon codeurs (enfin j'espère), mais à tous les #&%$=@ qui font n'importe quoi (et souvent c'est eux qui râlent contre PHP).

Display_error est bon pour le développement, mais pas pour la production.

c'est error_reporting qu'il faut laisser activé, avec un log dans un fichier. Comme cela, les erreurs sont notées mais pas affichées.

Pour le niveau maximal de rapport d'erreur, le traffic sur votre site le choisira pour vous.

Résumé :
error_reporting activé
logs activés
display_errors désactivé

Laissez le vôtre !

Les commentaires pour ce billet sont fermés.

À propos du billet

lundi 16 avril 2007 à 21:31

Classé dans :

4 commentaires

Navigation inter-billets