http://g-rossolini.developpez.com/reportages/zendcon-2008/schedule.php

Bien sûr, certaines sessions se chevauchent… Cela me donnera des solutions de repli au cas (improbable) où je m’ennuie dans certaines d’entre elles !

Attention, les dates affichées dans mon calendrier sont en zone UTC-7, soit 9 heures avant la zone de Paris.

En recevant un code 204, le client (le navigateur) n’a aucune raison de suivre les indications du serveur. Il n’y a pas de contenu, voilà tout. Utiliser un code 204 peut sembler correct puisqu’il n’y a effectivement pas de contenu à l’adresse demandée, mais les navigateurs qui suivent la RFC à la lettre ne suivront aucune redirection. Or cela casse tout le site…

En revanche, en utilisant un code de redirection 3xx, le navigateur a plus de chances de suivre la redirection demandée par le serveur. Mais là encore, il ne faut pas utiliser un code 302 comme le fait une partie des développeurs : ce status a changé de signification entre les versions 1.0 et 1.1, et aucune version ne convient pour répondre à une requête POST. Pour faire court, il est préférable d’utiliser ce code :

<?php
header('HTTP/1.1 303 See other');
header('Location: http://...');

Pour les détails, rendez-vous sur le blog de Ben Ramsey : http://benramsey.com/archives/http-status-redirection/

Je viens de rectifier quelques incorrections dans mon cours PHP, dans la section des Services Web. Je n’abordais pas le sujet de manière adéquate, certaines confusions classiques n’étaient pas éclaircies.

La distinction entre les types de services Web est maintenant plus nette : SOAP/RPC d’une part, REST de l’autre.

J’en ai profité pour ajouter des exemples avec les classes internes de PHP : SoapServer et SoapClient

L’article : http://knol.google.com/k/guillaume-rossolini/php/18nubijrdrzl7/2#view

C’est confirmé : sauf contre temps, j’assisterai à la ZendCon 2008 ! J’essaierai de faire un reportage photo et/ou vidéo
Je vais avoir du mal à choisir les sessions…

À bientôt ici-même du 15 au 18 septembre !

Le principe est de marquer chaque variable par un masque de bits afin de savoir si elles sont correctement préparées avant d’être envoyées vers une sortie comme un document HTML, une requête SQL, une expression rationnelle, une commande système… Vous n’êtes pas sans savoir que chaque type de sortie a son propre mécanisme de préparation des variables (échappement) :

http://php.developpez.com/faq/index.php?page=securite#securite-injection

La problématique de Taint est de déterminer quelles variables sont envoyées vers une sortie avant d’avoir été correctement préparées.

Si j’utilise echo ou print sur une variable qui n’est pas passée par htmlentities() ou htmlspecialchars(), Taint s’en rend compte et m’affiche un message :

<?php
ini_set("taint_error_level", E_WARNING);
$input = $_GET['input'];
echo "You entered: $input\n";

Warning: echo() [function.echo]: Argument contains data that is not converted with htmlspecialchars() or htmlentities() in C:\Web\online\http\tests\taint\basic.php on line 4
You entered: bouh

Ainsi, Taint permet de marquer les variables qui ont été préparées pour un affichage particulier. Par exemple, si j’utilise htmlentities() sur une variable, Taint marque cette variable avec un masque de bits lui permettant de savoir qu’elle est prête à être affichée dans une page Web. Si j’utilise echo ou print sur cette variable, tout se passe bien :

<?php
ini_set("taint_error_level", E_WARNING);
$input = htmlspecialchars($_GET['input'], ENT_QUOTES);
echo "You entered: $input\n";

You entered: bouh

De même, Taint m’avertit si j’utilise une fonction inappropriée pour préparer mes données :

<?php
ini_set("taint_error_level", E_WARNING);
$input = isset($_GET['input']) ? htmlspecialchars($_GET['input'], ENT_QUOTES) : '';
mysql_connect('localhost', 'root', '');
mysql_select_db('developpez');
mysql_query("SELECT * FROM rubrique WHERE nom LIKE '%$input%'");

Warning: mysql_query() [function.mysql-query]: Query contains data that is not converted with mysql_real_escape_string() in C:\Web\online\http\tests\taint\basic.php on line 6

Taint n’est pas une déclinaison de PHP prévue pour les serveurs en production. Elle est résolument orientée vers les développeurs sur leur machine de développment. N’oubliez pas d’activer le niveau d’erreurs Taint dans php.ini ainsi que l’affichage des erreurs PHP :

error_reporting = E_ALL | E_STRICT
display_errors = On
taint_error_level = E_WARNING

Une dernière chose : Taint est un fork de PHP car il faut apporter de légères modifications à son code source. Ainsi, toutes les fonctions n’ont pas encore été réécrites par Mr Venema. Je suis sûr qu’il accepterait volontiers de l’aide si certains d’entre vous ont confiance en leurs compétences en langage C. Je me ferai un plaisir de vous mette en contact
Voici la RFC de Taint contenant la liste à jour des fonctions réécrites : http://wiki.php.net/rfc/taint

NB1 : Certaines extensions ne suivant pas les recommandatsions du PHP Group pour l’écriture de leurs fonctions, elles risquent d’être plus complexes à « teinter ». Ne vous découragez pas pour autant, car je suis sûr que les mainteneurs de ces extensions accepteraient volontiers un patch résolvant ces problèmes…
NB2 : Les exemples présentés ici activent display_errors, mais le plus pratique est parfois de cacher les erreurs en ayant une console avec tail -f error.log : à vous de voir