Thomas Falkner

PHP-Fehlermeldungen mit .htaccess steuern

Geschrieben von Thomas Falkner - 11.04.11 um 12:04

Grundsätzlich kann es zu einem Sicherheitsrisiko werden PHP-Fehlermeldungen auf der Website anzeigen zu lassen, da mit Rückschlüssen auf den Code, die Verzeichnisstruktur oder Datenbankstruktur der Fehler ausgenutzt werden könnte.
Mit folgenden Einträgen in der .htaccess lassen sich die PHP-Fehlermeldungen unterdrücken.

php_flag display_startup_errors off
php_flag display_errors off
php_flag html_errors off
php_value docref_root 0
php_value docref_ext 0

Sinnvoll ist es hingegen die Fehler in eine Logdatei zu schreiben:

php_flag  log_errors on
php_value error_log  /path/to/website/PHP_errors.log

Sinnvoll ist es zudem den Zugriff über den Browser auf die Logdatei zu verbieten:

 Order allow,deny
 Deny from all
 Satisfy All

Ähnliche Beiträge:

• HTML-Eingaben in eigenen Joomla Komponenten gestatten
• Mit Apache Hotlinking und Bilderklau unterbinden
• TurboDbAdmin, die Web 2.0 Alternative zu phpMyAdmin
• suPHP
• bye bye mod_php

1 Kommentar »

RSS Feed für Kommentare zu diesem Artikel. TrackBack URI

1. Hallo Thomas,

   das Aktivieren des Error-Logs für PHP fehlte mir noch. Die Log-Dateien sollte man allerdings nicht innerhalb der Documentroot ablegen. Diese sollte ein Verzeichnis tiefer, z.B. im Ordner “/logs” (also dort wo auch die access_log, error_log) liegen, abgelegt werden. Ein Deny from all ist aber schon mal in Ordnung.

   Danke für die Hinweise.

   Kommentar by Daniel — 17. April 2011 #

Hinterlasse einen Kommentar

Name (erforderlich)

Mail (will not be published) (erforderlich)

Website

Search