Messages d’erreur de programme

» (index de matrice hors limites).

Quand nous développons des applications, il est bon et normal de recevoir de tels messages. En revanche, dès lors qu’un système a été remis à des utilisateurs finaux, l’apparition de tels messages, outre le fait qu’elle est un signe d’amateurisme, pourrait révéler une information sensible comme des emplacements de fichiers et des paramètres d’API internes.

Pis encore, si des moteurs de recherche indexent vos messages d’erreur, des pirates pourraient rechercher leurs erreurs exploitables délicieuses et favorites. Cette technique est suffisamment répandue pour avoir été baptisée : « Google hacking ».

Vous pouvez faire en sorte que les messages d’erreur s’accumulent dans votre fichier log (où vous pourrez les inspecter) mais restent hors de la vue du public, grâce aux paramètres php.ini suivants :

display_errors = Off log_errors = On error_log = /usr/local/Zend/ Core/logs/php_error_log ( the default) error_reporting = Z_ALL | E_STRICT

Quand E_ALL | E_STRICT est spécifié, PHP journalisera toutes les erreurs, aussi petites soient-elles, y compris les avertissements et les notices (comme des variables non initialisées). Pour plus d’informations sur le reporting d’erreurs sécurisé, voir sur le site de PHP.