PHP und security des tages

Einmal der ganz normale PHP-wahnsinn: wenn man auf einmal das datenbankpasswort in einer PHP-fehlermeldung einer webseit lesen kann… weia!

Tja, deshalb hat man bei einem richtigen produkzjonssörver, der am richtigen web hängt, auch die php.ini ein bisschen bearbeitet:

display_errors = Off
display_startup_errors = Off
log_errors = On

Fehlermeldungen finden sich dann im error.log des websörvers. Das sollte reichen, um fehler nachvollziehen zu können, wenns auch nicht ganz so direkt ist.

Beim proggen ists ja manchmal noch ganz gut, wenn man bekwem im brauser sieht, wo der verdammte fehler steckt und noch einen kleinen backtrace sieht, wie es dorthin gekommen ist. Vor allem in PHP, wo man praktisch keine brauchbaren debugging-werkzeuge hat. (Von der kwalität und brauchbarkeit der PHP-fehlermeldungen schweige ich jetzt mal.) Aber bei einer webseit, die sich auch mal ein cräcker anschaut, ist es einfach eine scheißidee, auch nur anzuzeigen, wo welche dateien liegen (in PHP immer mit absoluten pfadangaben!) — und kohdfragmente in den fehlermeldungen sind eine noch schlechtere idee. Sonst macht die mysql mal bubu, und dann steht da ein datenbankpasswort in der fehlermeldung. Oder andere dinge, die ein potenzjeller cräcker interessant findet.

via @benediktg@gnusocial.de

Advertisements

Eine Antwort zu “PHP und security des tages

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s