osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> De l'importance de mettre display_error sur OFF
FoxP2
posté 29 Aug 2010, 14:27
Message #1


Ceinture marron OSC
Icône de groupe

Groupe : Membres
Messages : 1665
Inscrit : 3-June 09
Membre no 25501



Encore aujourd'hui, de trop nombreuses boutiques ne le font pas.
Cela représente une vulnérabilité pour votre serveur, car à la moindre erreur d'apache, les chemins d'accès sont affichés.
Citation (informations par le php.ini)
Keeping display_errors enabled on a production web site
may reveal security information to end users, such as file paths on your Web
server, your database schema or other information.


Il est extrêmement aisé de provoquer une erreur avec un HTaccess mal configuré :

http://www.votredomaine.com/includes/header.php (même punition avec footer.php, counter.php, form_check.js.php)!

exemple type, la boutique de la fondation mozilla (ce n'est la seule sur le net, il y en a des milliers) :

http://intlstore.mozilla.org/includes/header.php

l'affichage d'un chemin absolu n'est pas une clé, par contre, c'est une des portes.

Il vous appartient de tester votre boutique et vous prémunir des failles en consultant la faq et les sujets épinglés de cette section.
Go to the top of the page
 
scientoufik
posté 29 Sep 2010, 23:39
Message #2


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 88
Inscrit : 16-May 10
Membre no 27574




Bonjour FoxP2:

J'ai bien mis le code indiqué:
Code
// start the timer for the page parse time log
  define('PAGE_PARSE_START_TIME', microtime());
  // set the level of error reporting
  // set the level of error reporting  
ini_set("error_reporting", E_ALL);
ini_set("display_errors","0"); // masque ou affiche les  erreurs
ini_set("ignore_repeated_errors","1"); // évite la répétition des mm erreurs dans les logs
ini_set("log_errors", "1" ); // inscrit les erreurs dans un fichier log
ini_set("error_log",  "/aaaa/bbbb/racinedemonsite/toto.txt" ); // le chemin de ce fichier

// set the level of error reporting
  error_reporting(E_ALL & ~E_NOTICE);
//  error_reporting(E_ALL | E_STRICT);

mais lorsque je vais sur la page http://www.mondomaine.com/includes/header.php
j'ai toujours l'erreur suivante qui apparait Fatal error: Call to a member function on a non-object in /xxxxx/includes/header.php on line 51
comment faire pour que l'erreur ne s'affiche plus?


--------------------
oscommerce-2.2rc1-FR-w3c-3; Customer Add Product 1.4.3; flash_bannersv2_1; HeaderTags_SEO_V_3.2.3; Make An Offer V3.1; new_products_glide - V2; osC-CenterShop v3.0 for MS2; Ultimate_SEO_URLSv22d_10; Unlimited products to manufacturers
Go to the top of the page
 
ngmsky
posté 18 Jun 2011, 15:47
Message #3


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 90
Inscrit : 7-November 09
Lieu : PARIS
Membre no 26487



Bonjour,
c'est dans quel fichier qu'il faut desactiver cette instruction ?

Est-ce dans le fichier de definition des variables globales, application_top, htaccess ou carrément dans php.ini (dans le cas de hebergement dédié) ?

Le lien cité ( ... mozilla ...) ne fonctionnement plus.

J'ai vu l'explication dans le site php.net mais je me demande, à quel endroit le préciser, pour oscommerce.

Merci à vous

Ce message a été modifié par ngmsky - 19 Jun 2011, 14:14.


--------------------
Oscom V 2.3.4 Ubuntu 14.04 LTS
10000000 merciS à l'équipe anglophone et francophone pour ce beau travail !

- Ta parole et ta pensée peuvent changer le monde. Alors agit pour construire.
- Tu es un être unique car Dieu ne fait pas de photocopie.
- Tu as le Pouvoir de Choisir ... la Vérité et de Refusez la mort.
- Evite le gaspillage (alimentaire, matériel, vestimentaire, ...) et Re-deviens un humain responnsable.
- Savoir qui es ton créateur c'est le debut de la science, te Soumetre à sa volonté c'est Réuissir ta vie : c'est le but de la vie sur tèrre !
- Les mains inactives appellent la pauvreté.
- Science sans conscience n'est que ruine de l'âme. Donc ne te limite pas à être intélligeant, cherche surtout La Sagèsse.
- L'Amour "véritable" et "inconditionnel" est l'unique solution aux multiples problemes du monde (violence, injustice, manipulation, pauvreté, ...).
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 29th February 2020 - 12:48
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)