La gestion des erreurs php en production

2009, May 30    

Un sympathique billet est apparu hier sur le blog de méthylbro traitant de la gestion des erreurs php en serveur de production.

En effet, on ne paramètre pas de la même façon un serveur où on bosse en local et le serveur final de production. Il traite ici du non-affichage des erreurs php.

php-display-errors-on-serveur-production (source : methylbro.titaxium.org)

Si une personne mal-intentionné (bouh le méchant hacker) arrive sur cette erreur, c’est du pain béni !!! En effet, il va manipuler un peu le formulaire et obtenir pas mal d’infos. Ici on a par exemple un peu l’arborescence. Puis on s’aperçu qu’une méthode manque. Bref, cela peut s’avérer être une véritable mine d’informations pour les méchants :)

En conclusion, en production : php.ini

error_reporting = E_ALL<br /> display_errors = off<br /> log_errors = on<br /> error_log = /chemin/vers/le/log

ou alors via le .htacces :

php_value display_errors off

A bon entendeur ;)