Отвалилась БД - при доступе к сайту видны логин\пароль к ней

[Justveryhappy]

Коллеги, привет.

 

Вопрос не напрямую с опенкартом связан, но немного зацепил.

Вчера у хостинга adminvps были проблемы с виртуальным сервером и отвалились на сутки базы данных у всех размещенных сайтов с него.

Больше удивило, что при проблеме доступа к БД, опенкарт выдал в лоб логин и пароль от нее при попытке подключиться к ней, что не очень секьюрно.

 

С одной стороны можно было бы временно удалить конфиг файлы, но так себе решение, когда у сайта нет поддержки 24\7

Поделитесь, пжл, решением, как лучше скрыть от пользователей такого рода информацию на будущее?

В идеале, наверное нужно отдавать пустую страницу с ошибкой 503, или с текстовой заглушкой про недоступность сервиса, но вдруг есть более правильные решения?

[ubuntu]

Для меня было бы правильное решение - это менять сразу хостинг. 

[Tobolskiy]

на сколько я понимаю такие ошибки вываливаются если включено их отображение в пхп, если отключить, будет белый экран

[Jurgen]

1 час назад, Justveryhappy сказал:

В идеале, наверное нужно отдавать пустую страницу с ошибкой 503, или с текстовой заглушкой про недоступность сервиса, но вдруг есть более правильные решения?

ну вы верно мыслите. Если у вас попытаться зайти на несуществующий урл то будет вот так

 

тоже самое можно сделать для любой другой ошибки, будь то 502, 503 или 504 

Просто укажите в .htacces

ErrorDocument 400 http://yoursite.com/400.html
ErrorDocument 404 http://yoursite.com/404.html
ErrorDocument 500 http://yoursite.com/500.html

Если у вас nginx+php-fpm то так

error_page 500 http://yoursite.com/500.html;

и тогда в ситуациях как у вас было, будет отображаться красивая страница, а не вот это вот все

[AlexDW]

 

[Dontmatter12]

1 hour ago, Jurgen said:

ну вы верно мыслите. Если у вас попытаться зайти на несуществующий урл то будет вот так

 

тоже самое можно сделать для любой другой ошибки, будь то 502, 503 или 504 

Просто укажите в .htacces

ErrorDocument 400 http://yoursite.com/400.html
ErrorDocument 404 http://yoursite.com/404.html
ErrorDocument 500 http://yoursite.com/500.html

Если у вас nginx+php-fpm то так

error_page 500 http://yoursite.com/500.html;

и тогда в ситуациях как у вас было, будет отображаться красивая страница, а не вот это вот все

 

Т.е. дело в неправильной (несекьюрной) настройке вебсервера, я правильно понимаю ? Настроить энджиникс нормально и не будет сливаться пароль при досе мускуля? 

[Jurgen]

1 час назад, Dontmatter12 сказал:

Т.е. дело в неправильной (несекьюрной) настройке вебсервера, я правильно понимаю ? Настроить энджиникс нормально и не будет сливаться пароль при досе мускуля? 

тут скорее косяки с обоих сторон. с одной стороны косяк опенкарта что он так это все вываливает в случае когда база отваливается

а с другой стороны подобные ошибки нужно отлавливать и заворачивать на красивую страницу

[Dontmatter12]

On 6/1/2020 at 12:33 PM, Jurgen said:

тут скорее косяки с обоих сторон. с одной стороны косяк опенкарта что он так это все вываливает в случае когда база отваливается

а с другой стороны подобные ошибки нужно отлавливать и заворачивать на красивую страницу

Неужели опенкарт не проходил аудита безопасности кода  ? Сколько еще там таких зеродеев, интересно...