Où serions-nous sans les messages d’erreur de programme ? Je ne parle pas de messages adressés aux utilisateurs finaux du genre « zip code required » (code postal nécessaire), mais des erreurs qui décrivent des problèmes de programmation internes, comme « array index out of bounds
Messages d’erreur de programme
» (index de matrice hors limites).
Quand nous développons des applications, il est bon et normal de recevoir de tels messages. En revanche, dès lors qu’un système a été remis à des utilisateurs finaux, l’apparition de tels messages, outre le fait qu’elle est un signe d’amateurisme, pourrait révéler une information sensible comme des emplacements de fichiers et des paramètres d’API internes.
Pis encore, si des moteurs de recherche indexent vos messages d’erreur, des pirates pourraient rechercher leurs erreurs exploitables délicieuses et favorites. Cette technique est suffisamment répandue pour avoir été baptisée : « Google hacking ».
Vous pouvez faire en sorte que les messages d’erreur s’accumulent dans votre fichier log (où vous pourrez les inspecter) mais restent hors de la vue du public, grâce aux paramètres php.ini suivants :
display_errors = Off log_errors = On error_log = /usr/local/Zend/ Core/logs/php_error_log ( the default) error_reporting = Z_ALL | E_STRICT
Quand E_ALL | E_STRICT est spécifié, PHP journalisera toutes les erreurs, aussi petites soient-elles, y compris les avertissements et les notices (comme des variables non initialisées). Pour plus d’informations sur le reporting d’erreurs sécurisé, voir sur le site de PHP.
Téléchargez gratuitement cette ressource
IBMi et Cloud : Table ronde Digitale
Comment faire évoluer son patrimoine IBMi en le rendant Cloud compatible ? Comment capitaliser sur des bases saines pour un avenir serein ? Faites le point et partagez l'expertise Hardis Group et IBM aux côtés de Florence Devambez, DSI d'Albingia.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
