PHP-Fehlermeldungen mit .htaccess steuern

Grundsätzlich kann es zu einem Sicherheitsrisiko werden PHP-Fehlermeldungen auf der Website anzeigen zu lassen, da mit Rückschlüssen auf den Code, die Verzeichnisstruktur oder Datenbankstruktur der Fehler ausgenutzt werden könnte.
Mit folgenden Einträgen in der .htaccess lassen sich die PHP-Fehlermeldungen unterdrücken.

php_flag display_startup_errors off
php_flag display_errors off
php_flag html_errors off
php_value docref_root 0
php_value docref_ext 0

Sinnvoll ist es hingegen die Fehler in eine Logdatei zu schreiben:

php_flag  log_errors on
php_value error_log  /path/to/website/PHP_errors.log

Sinnvoll ist es zudem den Zugriff über den Browser auf die Logdatei zu verbieten:


 Order allow,deny
 Deny from all
 Satisfy All

4 Antworten auf „PHP-Fehlermeldungen mit .htaccess steuern“

  1. Hallo Thomas,

    das Aktivieren des Error-Logs für PHP fehlte mir noch. Die Log-Dateien sollte man allerdings nicht innerhalb der Documentroot ablegen. Diese sollte ein Verzeichnis tiefer, z.B. im Ordner „/logs“ (also dort wo auch die access_log, error_log) liegen, abgelegt werden. Ein Deny from all ist aber schon mal in Ordnung.

    Danke für die Hinweise.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.