Php: безпека. Відображення помилок.

Відео: Відео-блок. Тема: злом і безпеку веб-сайтів

Всім привіт! Сьогодні ми поговоримо про відображення помилок в PHP і чим це може бути небезпечно.

Зазвичай, коли ви розробляєте проект, то у вас включено відображення всіх помилок. Це істотно допомагає в розробці. Однак, якщо ви викладаєте свій сайт в production, це може привести до великої загрози злому. Давайте розглянемо дуже простий, але наочний приклад.

lt ;?php 
 $ db =new PDO(`Mysql: host = 127.0.0.1-dbname = base`,`Root`,`12345`) - 
?gt;

Тут ми просто підключаємося до бази даних base, використовуючи наш логін і пароль. Якщо сервер вказано вірно, то все буде нормально, в іншому ж випадку ви побачите помилку. Дана помилка може дуже сильно допомогти зловмисникам зламати вас, адже вона містить дуже важливу інформацію: структуру вашого проекту, ваш логін і пароль, назва бази і сервера.

Щоб уникнути таких проблем, завжди потрібно відключати відображення будь-яких помилок на сайті, якщо ви викладаєте його в відкритий доступ. Зробити це можна двома способами.

Перший спосіб - відключити відображення помилок у файлі php.ini

Відео: Підвищення безпеки веб-додатків

display_errors=off

Але така можливість є не завжди. Тоді можна скористатися другим способом.

Другий спосіб - відключити відображення помилок за допомогою PHP. Просто напишіть на початку вашого головного файлу проекту (зазвичай index.php) Наступне:

ini_set(`Display_errors`,`Off`) - 
error_reporting(0) -

Отже, на цьому все. Це дуже невелика, але надзвичайно важлива тема, адже багато, особливо початківці веб-розробники, допускають цю помилку, що згодом призводить до несприятливих наслідків.