Supprimer les messages d'erreur dans error.php

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Supprimer les messages d'erreur dans error.php

    Bonjour,
    La dernière faille de sécurité de 3.7.0 affiche les résultats d'une requête SQL dans le champ du message d'erreur du fichier error.php du template. C'est le cas d'autres failles de sécurité comme dans les en-têtes http (UA). Je sais bien que la sécurité par obfuscation n'est pas suffisante, mais là c'est quand même très gros, surtout lorsqu'une société de sécurité publie le mode d'emploi pour hacker le site ou qu'il suffit de copier coller l'URL malveillante dans les logs Admin Tools. La première chose que l'on fait en installant un site en production, c'est de supprimer les messages d'erreur de PHP. Pour l'utilisateur final, le seul message d'erreur http qui lui importe c'est qu'il n'a pas trouvé sa page. Les composants gèrent en principe individuellement les alertes par des exceptions sans passer par error.php. Pourquoi ne pas avoir un moyen de désactiver facilement le message dans error.php en affichant uniquement le code d'erreur avec un message générique, par exemple ? Actuellement, je supprime manuellement le message d'erreur du template et bloque les requêtes tmpl= (changement de template) avec Admin Tools. Je voulais avoir votre avis sur la question. Merci et bonne journée à vous.

Annonce

Réduire
Aucune annonce pour le moment.

Partenaire de l'association

Réduire

Hébergeur Web PlanetHoster
Travaille ...
X