Antworten auf deine Fragen:
Neues Thema erstellen

Antworten zum Thema „Wie mache ich PHP sicherer beginnt es bei error_reporting(E_ALL oder 0);?“

A

ap1

Grafik/Web

Hallo!

Kurz und knapp: Ich bin gerade dabei mein CMS sicherer zu machen, halte mich an den Grundsatz "Überprüfe alles was reinkommt, und rausgeht aus der Anwendung", klappt mit RegEx's auch schon ganz gut aber jetzt habe ich gelesen error_reporting(E_ALL / 0) E_ALL soll unsicher sein!

Wenn ich mir meinen error_handler selbst verfasst habe und auch einige male mit trigger_error die funktion nutze gebe ich doch den absoluten pfad nicht aus was soll das also? Gilt die Regel 0 statt E_ALL nur für den Standart error handler oder allgemein? Wenn allg. warum? Wenn nicht wann ist der eigene Error handler sicher? Darf er Daten ausgeben? Darf er LOG's speichern?

PS: Auf was sollte ich noch achten wenn es um die Sicherheit geht

vielen dank im vorraus
 

E

EnricoS

Nicht mehr ganz neu hier

AW: Wie mache ich PHP sicherer beginnt es bei error_reporting(E_ALL oder 0);?

Hi ap1,

wo hast du denn gelesen, dass das error reporting unsicher ist?
Selbstverständlich ist E_ALL im produktiven Einsatz unangebracht. Diese Einstellung ist eigentlich nur für die Entwicklungsumgebung gedacht. Ich kann mir eigentlich nur vorstellen, dass die Fehlerroutine bei display_error=on ein Problem darstellen könnte, da hier die konkreten Pfade, Skripte und Variablen angezeigt werden.
Wenn du eine eigene Behandlungsroutine hast und die ernsten Fehler protokollierst anstatt auszugeben sehe ich da kein echtes Risiko.

Korrigiert mich wenn ich mich irre.

Was den Rest betrifft hilft belesen. Es gibt viele und immer wieder neue Varianten um Skripte anzugreifen. Wenn der Provider z. B. zu nachlässig ist Updates einzuspielen oder die PHP.ini nicht korrekt anpasst. Die häufigsten Fehler liegen denke ich aber immer noch beim Entwickler selbst in dem er/sie die Skripte zu unsauber schreibt.

"Überprüfe alles was reinkommt, und raus geht aus der Anwendung"
Damit liegst du auf jeden Fall schon mal richtig

Ansonsten kannst du z. B. noch nach SQL_Injection oder Cross-Site scripting schauen.

Gruß
Enrico
 
Bilder bitte hier hochladen und danach über das Bild-Icon (Direktlink vorher kopieren) platzieren.
Antworten auf deine Fragen:
Neues Thema erstellen

Willkommen auf PSD-Tutorials.de

In unseren Foren vernetzt du dich mit anderen Personen, um dich rund um die Themen Fotografie, Grafik, Gestaltung, Bildbearbeitung und 3D auszutauschen. Außerdem schalten wir für dich regelmäßig kostenlose Inhalte frei. Liebe Grüße senden dir die PSD-Gründer Stefan und Matthias Petri aus Waren an der Müritz. Hier erfährst du mehr über uns.

Stefan und Matthias Petri von PSD-Tutorials.de

Nächster neuer Gratisinhalt

03
Stunden
:
:
25
Minuten
:
:
19
Sekunden
Zu den Gratis-Inhalten

Neueste Themen & Antworten

Flatrate für Tutorials, Assets, Vorlagen

Zurzeit aktive Besucher

Gesamt: 1.259 (Mitglieder: 3, Gäste: 1.256)
Robots: 244

Statistik des Forums

Themen
175.189
Beiträge
2.582.077
Mitglieder
67.259
Neuestes Mitglied
SaschMasch1312
Oben