nicht angemeldet
display_errors ein oder aus
Standartmässig ist display_errors bei mir per PHP.INI eingeschaltet.
Ich schaltes es über meine htaccess aus:
php_flag display_errors Off
Jetzt meine Frage:
Es ist doch sicherer enn sie ausgeschaltet ist? Oder bin ich da auf dem Holzweg?
Maria
-
php_flag display_errors Off
Es ist doch sicherer enn sie ausgeschaltet ist? Oder bin ich da auf dem Holzweg?Du scheinst auf dem Holzweg, da die Anzeige von Fehlermeldungen nur dann eine Frage der Sicherheit ist, wenn die Fehlermeldungen andere Sicherheitslücken oder gar Paßwörter oder dergleichen offenbaren.
Insofern kann man es schon als zweckmäßig ansehen, die Fehleranzeige für den produktiven Betrieb abzuschalten, aber für Sicherheit ist an ganz anderen und viel mehr Stellen zu sorgen (je nach dem was man macht).
-
Hello,
Standardmässig ist display_errors bei mir per PHP.INI eingeschaltet.
Ich schaltes es über meine htaccess aus:
php_flag display_errors Off
Jetzt meine Frage:
Es ist doch sicherer enn sie ausgeschaltet ist? Oder bin ich da auf dem Holzweg?
Es wäre zweckmässiger, die Fehlermeldungen nicht auf der Standardausgabe, sondern in eine Log-Datei auszugeben. Das setze aber voraus, dass eine Fehlerbehandlung im Programm durchgeführt wird, die dann entsprechend reagieren kann und dem Client eine Mitteilung auf die Standardausgabe schreibt, mit der ER etwas anfangen kann. Also z.B.:
"Der angeforderte Service ist momentan nicht verfügbar. Der Administrator wurde informiert. _Link__zurück__zum__sinnvollen__Oberthema_"
Und die PHP-Fehlermeldung landet im Log.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
