Skip to main content

Despliegue de mensajes de error

El software genera un mensaje de error que incluye información confidencial sobre su entorno, usuarios o datos asociados.

La información confidencial puede ser información valiosa por sí misma (como una contraseña, nombres de usuario), o puede ser útil para lanzar ataques dirigidos.

MensajeDeErrorEnProduccion.png

Un atacante puede usar el contenido de los mensajes de error para ayudar a lanzar otro ataque más enfocado.

Deshabilitar el despliegue de errores en PHP

El manual de PHP recomienda deshabilitar "display_errors" en servidores expuestos a Internet.

Para PHP 5.2.4 y superior, la configuración "display_errors" en el archivo de configuración "php.ini" debe establecerse en "stderr" (flujo de salida de error), en lugar de "stdout" (flujo de salida enviado a los clientes).

display_errors = stderr

Para versiones anteriores, "display_errors" es un tipo booleano y se puede establecer en "False" para desactivarlo. La configuración también se puede deshabilitar en tiempo de ejecución usando ini_set() desde dentro de un script PHP.

display_error = False

Deshabilitar el despliegue de errores en Framework Yii 2.0

Yii incluye embebido un Error Exception Handler que hace del manejo de errores una experiencia mucho más llevadera.

El manejo de excepciones está habilitado por defecto. Se puede deshabilitar definiendo la constante global "YII_ENABLE_ERROR_HANDLER" a “"false" en el script de entrada (Entry Scripts) de la aplicación.

YII_ENABLE_ERROR_HANDLER = false
Back to top