Julien Pauli DevPHP blog

Le code d’erreur E_STRICT n’est actuellement pas inclu dans E_ALL. Il le sera en PHP5.3 et PHP6, mais il sera sindé en 2. E_STRICT repèrera toutes les erreurs de conception dans le code, et devrait générer une erreur de type E_ERROR, soit fatale (arrêt immédiat du script) En revanche, le nouveau E_DEPRECIATED lui, génèrera des E_NOTICE, au sujet de comportements dépérciés et amenés à disparaitre. Voici un concept interessant, regardez : <?php class a { […]

Actuellement, si vous utilisez mysql sous PHP, par un des 3 moyens classiques de le faire : l’extension mysql, mysqli ou pdo_mysql, alors PHP utilise la librairie système libmysql : la Mysql Client Library; soit l’API qu’offre mysql pour des programmes principalement écrits en C. Mais une nouvelle librairie système va voir le jour, la mysqlnd : Mysql Native Driver. Ce driver a été entièrement re-développé, pour PHP, et fera son apparition avec PHP5.3, et […]

Voici un petit rappel : n’affichez jamais PHP_SELF sans la sécuriser (htmlentities). De manière plus générale, n’affichez jamais, de manière brute, une donnée externe, quelque soit sa source. Tout ce qui vient de l’exterieur, est susceptible d’etre altéré; tout : $_SERVER[], $_COOKIE[], $_FILES[] aussi, $_GET[],POST[](REQUEST[] donc) bien entendu, $_ENV est plus discutable.(Sans oublier l’environnement ajascent : base de données, programmes, réseau et flux …) Un code du style <?php echo $_SERVER[‘PHP_SELF’] ?> autorise une injection […]

Avant de commencer, je précise que mysql est une extension vieillissante dans PHP. PHP5 a vu apparaitre l’extension mysqli (i = improved), qui je rappelle offre un double style ( objet et procédural fonctionnel ), permet de profiter des nouveautés de mysql4.1 (et plus) : transactions, requêtes préparées; et de plus, elle s’avère plus rapide et efficace que sa vieille soeur mysql. PDO permet aussi d’interfacer efficacement avec une base de donnée mysql (entre autres). […]

Un nom bien barbare qui signifie Open Web Application Security Project et Web Application Security. Une belle conférence qui s’est tenue récemment aux USA, des photos sont disponibles ici On peut y lire les programmes des journées. Bien entendu Jeremiah Grossman (de WhiteHat Security), RSnake et même Samy Kamkar, étaient présents. Samy a d’ailleurs donné une conférence sur la son fameux ver MySpace Un gros nids mondial de spécialistes de la sécurité du web, vous […]

J’ai trouvé un petit test de vitesse (benchmark) récent des méthodes magiques de PHP5. Sont testées __get(), __set(), __call() ; mais aussi call_user_func() ainsi que sa soeur call_user_func_array(). Je vous livre une partie de la conclusion : (…)All of PHP 5’s advanced object-oriented features have a cost, and sometimes that cost is non-trivial. Does that mean we should avoid using them? Of course not! Magic methods, iterators, ArrayAccess, and the like make solving certain types […]

Developpez regorge décidément d’articles super cools. En voici un qui vient de sortir, il rappelle, ou pour certains, explique, ce qu’est UML, à quoi ça sert, et pourquoi l’utiliser.. ? En tant que formateur, je suis surpris que la plupart de mes stagiaires connaissent Merise, mais n’ont absolument aucune notion d’UML, jamais entendu parlé pour certains. Et pourtant, ce langage de modélisation standardisé, permet de décrire de manière visuelle et indépendante de tout langage, le […]

Voici un petit guide cool, des bonnes pratiques de conception d’un site web. C’est classé par catégories : formulaires – I18N – accessibilité – liens – serveur … Ca se passe ici

Le très sérieux site international de la sécurité du web, Whitehatsec, dirigé par un expert en sécurité, Jeremiah Grossman; vient de publier le classement des types d’attaques web par fréquence d’apparition. Sans surprise, le Cross Site Scripting (XSS) tient la palme d’or, il est suivi par le vol de données, et la modification de contenu. Le rapport est en anglais, format pdf (11 pages), vous le trouverez ici

Si vous ne savez pas ce qu’est le CSRF, je vous conseille avant tout mon article sur la sécurité du web Récemment, une attaque de type CSRF a été trouvée dans Gmail. Si vous êtes loggué sous Gmail, un simple clique vers un lien envoie une requête POST au serveur Gmail. Cette requête a pour but de créer un nouveau filtre, qui redirige tous les messages que vous recevez (comportant une pièce jointe), vers une […]