Grundsätzlich kann es zu einem Sicherheitsrisiko werden PHP-Fehlermeldungen auf der Website anzeigen zu lassen, da mit Rückschlüssen auf den Code, die Verzeichnisstruktur oder Datenbankstruktur der Fehler ausgenutzt werden könnte.
Mit folgenden Einträgen in der .htaccess lassen sich die PHP-Fehlermeldungen unterdrücken.
php_flag display_startup_errors off php_flag display_errors off php_flag html_errors off php_value docref_root 0 php_value docref_ext 0
Sinnvoll ist es hingegen die Fehler in eine Logdatei zu schreiben:
php_flag log_errors on php_value error_log /path/to/website/PHP_errors.log
Sinnvoll ist es zudem den Zugriff über den Browser auf die Logdatei zu verbieten:
Order allow,deny Deny from all Satisfy All
Hallo Thomas,
das Aktivieren des Error-Logs für PHP fehlte mir noch. Die Log-Dateien sollte man allerdings nicht innerhalb der Documentroot ablegen. Diese sollte ein Verzeichnis tiefer, z.B. im Ordner „/logs“ (also dort wo auch die access_log, error_log) liegen, abgelegt werden. Ein Deny from all ist aber schon mal in Ordnung.
Danke für die Hinweise.
Wenn ich das Obige in meine .htaccess schreibe bekomme ich einen 500er?!?
Bei mir auch. Ich versuche es auf Biegen und Brechen. Ich bekomme ebenfalls immer einen 500 Fehler
Habt ihr den Pfad bei php_value error_log /path/to/website/PHP_errors.log für eure Website angepasst?