Julien Pauli DevPHP blog

Voila un petit guide sympa qui récapitule ce qu’est une XSS, comment les déclencher, leurs dangers, et les moyens de s’en prémunir (désactiver Javascript? ^^). Tout ceci écrit de manière rigolote, sous forme ASCII. Ca se passe par ici

Imaginez les lourdes fonctions mysqli_* , comme mysqli_fetch_array(), ou encore mysqli_character_set_name(). J’ai réalisé une petite classe de Proxy. Pour moi, j’écris $proxy->fetchArray() , ou encore $proxy->characterSetName(). Ma classe proxy prend en paramètre le nom de la fonction que l’on veut proxier. Il est mieux d’utiliser les fonctions d’une extension, qui commencent toutes par le même nom. Ensuite, appelez le « reste de la fonction », comme une méthode de la classe, en remplaçant les _ par une […]

Les forces de PHP en font quelques fois ses faiblesses en entreprise. Notre but, à nous, acteurs du PHP professionnels (Associations, entreprises), est de montrer que PHP est capable de (presque) tout, dans le milieu pro. Je m’efforce de rappeler sans cesse à mes stagiaires quelques bonnes pratiques : PHP est très capable au regard d’HTML, d’une manière remarquable il peut le composer, mais si vous n’utilisez pas de « vues » ou de « templates », la maintenabilité […]

J’ai déja traité le cas sur ce blog il y a quelques temps, voici que Nexen nous en ressert une couche. Remarque, ça ne fait jamais de mal de parler sécurité, surtout concernant PHP_SELF, lorsqu’on connait le nombre impressionnant d’applications qui utilisent un code vulnérable du style : <form method="POST" action="<?php echo $_SERVER[‘PHP_SELF’] ?>"> Répétons donc : tout paramètre provenant de l’extérieur du script est susceptible d’être altérable. La quasi totalité de $_SERVER est basé […]

Apparue avec PHP5, la SPL est une collection d’objets et d’interfaces internes, dans PHP. Ils sont là pour aider le programmeur à mieux concevoir ses applications orientées objet, et proposent la plupart du temps des implémentations de design patterns connus. Programmer avec la SPL, c’est tout simplement allier efficacité, réutilisation de code, et concepts objets avancés; le tout via PHP lui-même : donc d’une grande portabilité et avec de bonnes performances. La SPL est une […]

Nexen nous propose un lien pour faire le tour du monde des Frameworks On retrouve bien sur PHP, mais aussi un tat d’autres langages. Notons : C#, Python, Ruby, mais aussi Javascript, CSS, Python ^^

Nous voici en 2008, et la dernière version de PHP4, la 4.4.8, vient de sortir. Derick Rethans le confirme sur son blog, le support de PHP4 est désormais terminé, excepté pour les mises à jour de sécurité éventuelles, dont le support est maintenu jusqu’au 08/08/08. Il est donc recommandé de migrer vers PHP5 et plus spécialement la branche 5.2 qui apporte un bon nombre d’options riches et utiles Tout ceci en attendant la branche PHP5.3, […]

Le langage PHP est un langage de programmation flexible, permissif et facile à appréhender. Les principes et contraintes de conception généralement imposées dans les langages à vocation industrielle (C/C++, Java, etc.) ne s’appliquent pas nécessairement avec PHP, on peut les appliquer si on le désire, mais souvent ils sont ignorés pour plusieurs raisons. Le programmeur est seul maître à bord, il choisit la précision avec laquelle il souhaite intégrer un paradigme, que ce soit impératif, […]

Chris Shifflet interview Terry Chay, pour une petite pile de rappels concernant la sécurité en phase de développement, d’analyse ou de conception. Les règles sont toujours les mêmes : Ne faites pas confiance aux utilisateurs De manière plus générale, n’apportez aucune confiance aux données entrant dans votre programme, quelque soit l’entrée (get, post, server, env, cookie ….) Filtrez toute entrée, échappez toute sortie Méfiez vous des injections de commandes, des injections SQL Attention lors de […]

Mpff, je viens de tomber sur le schéma général de traitement d’une requête HTTP. Vraiment superbe, très compréhensible, à jour (HTTP/1.1) et sans erreur (semble-t-il). C’est un diagramme d’activité UML, qui part de la requête, jusqu’à la réponse. Or, des codes de réponse HTTP, il en existe des 10aines (selon les surcouches du protocole, comme WebDav), et des méthodes : 8 (sans surcouches). Voyez ce très généreux diagramme, qui pèse la bagatelle de 750Ko … […]