Julien Pauli DevPHP blog

Voici un petit article qui nous rappelle que PHP5 possède une quantité énorme de fonctionnalités, mais aussi d’astuces de programmation. On peut voir ICI quelques une d’entre elles; parfois sans parler d’astuces, on a tendance à trop oublier ces quelques gestes. Ce blog regorge d’ailleurs d’articles hautement intéressants que je conseille à tout le monde. Notez que ça ne parle pas que de PHP.

Et voila, encore un display_error à On sur paris.velib.fr. Voyez l’image. : un système de cache qui a foiré. On remarque qu’ils utilisent PEAR, et qu’ils tournent avec Ezpublish Je rafraichis tout le monde : en production, on passe toujours display_error à off, car les utilisateurs n’ont que faire des éventuelles erreurs, qui surtout peuvent divulguer beaucoup d’infos au niveau de la configuration ou de l’architecture du serveur. En revanche on active log_error et parfois […]

Mon cher ami Damien, de Nexen, associé avec Philippe Gamache, viennent de publier un livre sur la sécurité PHP5 et Mysql. J’ai commencé sérieusement à le bouquiner, et il m’a semblé normal de le citer sur ce blog, et de vous inciter à l’acheter. Il reprend, en Français, chose plutôt rare pour un tel concept, les fondamentaux de la sécurité d’une application web, principalement livrée par PHP5 et Mysql. On y retrouve au menu le […]

Enfin! , exactement 3 ans jour pour jour après la sortie de PHP5, l’équipe de developpement de PHP annonce la fin partielle du support de PHP4 d’ici à la fin de l’année 2007. PHP4 ne sera plus du tout supporté à partir du 08/08/08. Entre le 01/01/08 et le 08/08/08, seules des mises à jour de sécurité seront considérées. Je rappelle aussi l’existence du mouvement gophp5. Tous les développeurs, mais aussi toute la chaine, et […]

Uploader un fichier grâce à PHP et une requête HTTP POST avec un enctype=multipart/form-data est vraiment très simple. Mais laisser quelqu’un encoyer un fichier sur votre serveur, qui plus est si ce fichier est destiné à être resservi, est par définition très dangereux. Et les images ne sont pas épargnées, en particulier le format GIF, qui permet une injection de code et l’exécution d’un code PHP sur votre serveur. Voici un article très intéressant qui […]

C’est une grande avancée que vient de réaliser Zend : Paris—Le 21 juin 2007—Le Réseau de ressources pédagogiques CERTA et la société Zend Technologies annoncent un accord de partenariat d’une durée initiale de trois ans. Leur objectif commun est de renforcer le niveau d’expertise sur les technologies PHP de la communauté nationale des professeurs chargés des enseignements de gestion des systèmes d’information et d’informatique de gestion au lycée (environ 200 classes de terminale et 400 […]

C’est un ami qui m’a fournit l’URL, c’est très drole. Via http://www.angela-merkel.de/index.php?mode=ueberzeugungen&page=../../../../../../../../../../../../../../usr/local/apache/conf/httpd.conf%00 il était ( c’est corrigé ) possible d’afficher le httpd.conf du serveur. Une attaque par inclusion de chemin relatif qui nous permet de rappeller que toute entrée dans un script, quelquesoit sa provenance, doit être systématiquement validée. On peut aussi s’apercevoir que l’utilisateur Apache possède les droits en lecture dans le repertoire d’Apache, ce qui est signe d’une grosse faiblesse niveau sécurité. A […]

Phishing, vol d’identité, de coordonnées bancaires, sont autant de problème de sécurité qui émergent de nos jours. Nous utilisons tous Internet tous les jours, et celui-ci est devenu vecteur d’attaques très modernes, visant le plus souvent à soutirer de l’argent, des informations (très) personnelles , ou se faire passer pour quelqu’un d’autre; et ceci sans jamais qu’on puisse s’en apercevoir, à notre insu complètement. La sécurité web affecte aussi la renommée d’une entreprise et peut […]

On le dit souvent en conférence, c’est une recommandation de sécurité importante : Ne laissez pas display_error à On sur un serveur en production. Logguez les erreurs, mais ne les affichez jamais. Regardez un peu le nombre d’informations que vous fournissez sur votre appli quand vous affichez les erreurs, un exemple avec Clubic : Clubic se dévoile à l’exterieur On sait que vous êtes sous Mysql ( du moins en partie ). On aperçoit un […]

Ilia Alshanetsky relaye une info interessante concernant IE et la redirection POST : Tout le monde sait faire une redirection GET. Et bien la même chose peut être faite via la méthode POST, et de manière totallement transparente, sous IE en tout cas. Ce fait ne représente pas en soi une menace, mais associer à un peu de XSS, et là, c’est plus pareil… Imaginons un utilisateur qui envoie un formulaire en POST. Une faille […]