7-2安全な実行時設定Tips443 エラー出力を設定する

Level2

PHPのデフォルトの動作では、エラーメッセージが画面上に表示されます。

エラーが発生したファイル名や関数名が画面上に表示されることは、悪意のある攻撃者にとって有用な情報を与えることになるため、好ましくありません。

本番環境では一般的に、エラーメッセージを画面上に表示しないよう、php.iniを以下のように設定します。

  error_reporting = E_ALL & ~E_NOTICE & ~E_DEPRECATED
  display_errors = Off
  log_errors = On
  error_log = ログファイル名

上記のような設定をすることで、エラーメッセージが画面上には出力されなくなり、代わりにログファイルに追記されるようになります。

error_reporting = E_ALL & ~E_NOTICE & ~E_DEPRECATED

上記は、NOTICEレベルとDEPRECATEDレベルを除く全てのエラーメッセージを表示するという意味です。