Il est indispensable de bien paramétrer le fichier php.ini si l'on souhaite atteindre un bon niveau de sécurité en PHP.

Dans cet article nous allons parler de 2 directives dans php.ini concernant l'affichage des erreurs en cours d’exécution des scripts php :

• display_errors
• display_startup_errors

L'affichage des erreurs sur les sites de production peut révéler certaines informations importantes sur le serveur ou sur la base de données, comme le nom de la base ou les noms de certaines de ses tables, ce qui constitue une source d'inspiration pour les hackeurs !

display_startup_errors
Indépendemment de la directive display_errors, les erreurs qui peuvent survenir lors de la séquence de démarrage de PHP seront affichées pour la valeur On de display_startup_errors et cachées pour la valeur Off.

Pour les sites en développement, il est utile de mettre ces 2 directives sur On afin de faciliter le débogage.

• display_errors = On
• display_startup_errors = On

Pour les sites en production (i.e. sites connectés à Internet), il est fortement recommandé de laisser ces valeurs sur Off. Pour le débogage d'un site en production, il vaut mieux utiliser l'historique d'erreur ou le fichier error_log plutôt que d'afficher les erreurs en cours d'exécution des scripts.

• display_errors = Off
• display_startup_errors = Off