17 mai – Glagla.org: Frameworks php pour l’entreprise

16 mai – PHPortail: codeFest 2.1 (16/05/08)

16 mai – PHPortail: Gestion des changements avec MySQL Workbench (16/05/08)

16 mai – PHPortail: Élections PEAR 2008 (16/05/08)

16 mai – PHPortail: Statistiques PHP pour avril 2008 (16/05/08)

16 mai – PHPortail: Afficher le gravatar en fonction d'un e-mail (16/05/08)

16 mai – PHPortail: Publier vos trucs d'expert peut-il gêner vos affaires? (16/05/08)

16 mai – PHPortail: 12 méthodes de défilement avec JavaScript (16/05/08)

16 mai – PHP Index: Faille symfony et mise à jour 1.0.16

L'équipe de symfony, le framework pour php5, vient de corriger une importante faille de sécurité.

Cette correction est l'unique changement entre cette version et la précédente, mais elle justifiait à elle seule la mise à jour. Vous trouverez plus d'informations à propos de la procédure l'exploitant sur le ticket #1617. Brièvement, avant la correction de cette brèche de sécurité, un attaquant pouvait outrepasser le processus de validation en changeant la casse d’un nom de fichier appelé.

Le patch de cette faille a provoqué quelques soubresauts du fait que l'auteur de la découverte l'avait faite remonter il y a plus d'un an.

Concernant la faille, tout le monde n'est pas forcément touché, il faut que votre application utilise :action comme paramètre de règle de routage, ce qui est le cas par défaut.
Pour le savoir, allez à l'emplacement "data/skeleton/app/app/config/" puis regardez dans le fichier "routing.yml".
Si vous trouvez la mention :
default:
url: /:module/:action/* alors vous êtes affecté par cette faille et l'équipe de symfony vous encourage vivement à mettre à jour le plus rapidement votre version.

Pour la mise à jour :
- Si vous êtes en version 1.0 : vous pouvez patcher directement le fichier sfExecutionFilter.class.php comme indiqué sur le changeset #8922, ou utiliser PEAR (pear upgrade symfony/symfony-1.0.16) ou bien encore le paquet Debian.
- Si vous êtes en version 1.1 : vous pouvez patcher directement le fichier sfExecutionFilter.class.php comme indiqué sur le changeset #8925.
Le patch sera inclus dans la version 1.1RC.

PS : Un peu hors sujet, mais restant sur les failles critiques, si vous utilisez SSH, que vous êtes sous Debian (ou ses dérivées) et que ce n'est pas déjà fait, pensez à mettre à jour aussi si vous ne voulez que l'on puisse prédire" vos clefs.

Proposé par Hourdeaux Christophe

15 mai – Nexen.net: Actualité de développement PECL, edition 200

15 mai – Nexen.net: Utilisations pratiques des vues

15 mai – PHP Index: Typo3 : multiples bulletins de sécurité

Plusieurs extensions sont actuellement corrigées car sensibles entre autres aux Cross site scripting (XSS)

Extension WT Gallery (wt_gallery)

Versions concernées : 2.6.2 et versions précédentes.

Lors de l'upload d'une image, l'arborescence du serveur peut apparaître. Cette extension est également sensible aux XSS.
Télécharger la mise à jour

Extension Questionaire (pbsurvey)

Versions concernées : 1.2.0 et versions précédentes.

L'extension est sensible aux XSS et ne filtre pas les données javascript.
Télécharger la mise à jour

Extension Event Database (rlmp_eventdb)

Versions concernées : 1.1.1 et versions précédentes.

L'extension est sensible aux XSS et ne filtre pas les données javascript.
Télécharger la mise à jour

Extension Statistics (ke_stats)

Versions concernées : 0.1.2 et versions précédentes.

L'extension est sensible aux injections SQL et aux XSS.
Télécharger la mise à jour

Extension Frontend User Registration (sr_feuser_register)

Versions concernées : toutes

L'extension est sensible aux XSS et ne filtre pas les données javascript. De plus, l'exécution d'une commande à distance peut effacer certains fichiers du serveur.
Pour les utilisateurs des versions de Typo3 3.x : Télécharger cette mise à jour
Pour les utilisateurs des versions de Typo3 4.x : Télécharger cette mise à jour

Extension Frontend Filemanager (air_filemanager)

Versions concernées : 0.6.0 et versions précédentes

L'extension est sensible aux XSS et ne filtre pas les données javascript. Du code PHP peut également être inséré dans les pages.
Télécharger la mise à jour


Pour toutes les extensions citées ci-dessus, Typo3 conseille de suivre les recommandations données dans le livre de sécurité.
Lire la liste des bulletins de sécurité

14 mai – Nexen.net: Construction de Web services avec PHP in Eclipse

14 mai – Nexen.net: Votre domaine, avec ou sans www?

14 mai – Nexen.net: Schwartz : "MySQL est libre mais pas Open Source"

14 mai – Nexen.net: Growl et PHP (et des doublons MySQL)

14 mai – Nexen.net: Vidéo PHP et MySQL, édition 45

14 mai – PHP Index: Frameworks PHP pour l'entreprise : un livre blanc

Clever Age a publié récemment un livre blanc au sujet des frameworks PHP pour l'entreprise.

Le document présente les différents aspects de l'évaluation d'un framework : aspects techniques, évidemment, mais également aspects fonctionnels et stratégiques. Quatre frameworks, parmi les plus populaires, ont été passés au crible : Cake PHP, Code Igniter, Symfony et le Zend Framework.

Chacun d'entre eux a été analysé suivant la méthode QSOS, et le résultat de l'étude est résumé sous la forme de graphiques radar.

Ce livre blanc est disponible gratuitement, sur simple demande.

Proposé par Xavier Lacot

14 mai – PHP Index: Nouvelle édition des webinars de Zend Technologies axés PHP

3 nouveaux rendez-vous Webinar sont organisés pour le mois de Mai :

WEBINAR : "Créez et déboguez vos applications PHP avec Zend Studio for Eclipse"

Jeudi 22 mai 2008 – 14h30 : Votre ordinateur - via Webex

Zend Studio for Eclipse est notre IDE PHP de nouvelle génération basé sur Zend Studio "Classique" et l'environnement Eclipse. Studio possède de nombreuses nouvelles fonctionnalités telles que le Code coverage, le test unitaire, le profiling...
L'objectif de ce webinar est de mettre en rapport les fonctionnalités de Studio for Eclipse avec les problématiques quotidiennes de développement.
Nous vous montrerons donc comment créer et déboguer une application PHP en utilisant les outils Zend Studio for Eclipse.
Nous aborderons de manière pratique la gestion de projets, les fonctionnalités de base (édition, complétion, templates), les fonctionnalités avancées (génération de code, débogage, profiling, test unitaire).
Notre expert répondra à l'ensemble de vos questions tout au long de cette présentation.

Durée : 50 minutes
Public : développeurs, chefs de projet...
Intervenant : Gauthier Delamarre, Consultant Zend Technologies
https://zend.webex.com/zend-fr/onstage/g.php?t=a&d=578382773

--------------------------------------------------------------------


Webinar : "Migration PHP4 vers PHP5, quels enjeux et problématiques ?"

Mardi 20 mai 2008 – 14h30 : Votre ordinateur - via Webex

Le PHP Group annoncé la fin du support de PHP4 par la communauté le 8 août 2008. Cet arrêt impose aux entreprises qui possèdent des serveurs PHP4 de considérer la problématique d'une migration vers PHP5 non seulement de vos serveurs, mais aussi de vos applications.
Pourquoi envisager la migration, même celle d'un système fonctionnel ?
Quels sont les avantages de PHP 5 par rapport à PHP 4 ?
Quels sont les risques ?
Quel est le processus de migration ?
C'est aussi l’occasion de poser toutes vos questions à un expert Zend en direct.

Durée : 40 minutes environ
Public : développeurs, administrateurs, responsables informatiques
Intervenant : Gauthier Delamarre, Consultant Zend Technologies
https://zend.webex.com/zend-fr/onstage/g.php?t=a&d=575744185

---------------------------------------------------------------------


WEBINAR : "Optimisez et supervisez vos applications PHP avec Zend Platform"

Mardi 27 mai 2008 – 14h30 : Votre ordinateur - via Webex

Durant cette présentation, vous découvrirez comment la Zend Platform vous permet d'accélérer vos développements et réduire vos coûts de maintenance grâce à un système de supervision complet de vos applications. Lors d'une phase de démonstration, un consultant vous montrera comment il est possible de déboguer d'un clic un incident passé, et enregistré par la Platform, directement en mode débogage pas-à-pas. Seront également présentées les fonctionnalités d'amélioration de performances au travers de différents mécanismes de cache.

Durée : 50 minutes / 1 heure (dont Questions/réponses)
Public : développeurs, administrateurs, responsables informatiques
Intervenant : Gauthier Delamarre, Consultant Zend Technologies

https://zend.webex.com/zend-fr/onstage/g.php?t=a&d=570899126

Proposé par Hello

13 mai – Nexen.net: Effacement avec jointure et limite

13 mai – Nexen.net: Limites des requêtes SQL préparées

13 mai – PHP Québec: codeFest PHP Québec 2.1 : Optimiser & Tester les logiciels libres

12 mai – Nexen.net: Les SSD (Solid-State Drive) : une technologie d’avenir pour nos SGBD ?

12 mai – Nexen.net: MySQL et les vues matérialisées

12 mai – Nexen.net: Un demi-million de forum PHPBB piratés

11 mai – Nexen.net: PHP en mode interactif et les tests unitaires

 
 
$ php -a
 
Interactive mode enabled
 
 
 
html
 
<?php
 
html
 
echo phpversion();
 
5.2.6?>
 

 
 
<?php
 
include('prime.php');
 
print is_prime(4);
 
4
 
print is_prime(7);
 
0
 
print is_prime(13);
 
0
 
print is_prime(49);
 
0
 
?>
 

11 mai – Nexen.net: Procédures stockées : langage externe, mais pas encore PHP

11 mai – Nexen.net: Sessions Javascript : 2 Mo dans le titre de la page

11 mai – Rom's blog: Tutoriel Video sur WampServer

Merci à Damien (http://www.nexen.net) pour ce lien :

http://www.dailymotion.com/search/MySQL/video/x5d2ka_tutoriel-video-wamp_creation?from=rss

11 mai – Apprendre-PHP.com: Les classes abstraites et finales

11 mai – PHP News: Le passé, le présent et l’avenir de PHP

Aujourd’hui encore, PHP est de loin un langage de choix dans le développement web.

Cependant, celui-ci n’a pas évolué en profondeur depuis de nombreuses versions, et de nouveaux arrivants, tel que le framework Ruby on Rails (langage Ruby) ou encore le langage Python (qui n’a pourtant pas été conçu à l’origine pour le web) voient leur popularité croître de plus en plus.

Dernier exemple en date, la plateforme d’hébergement et de développement RoR heroku.com a levé $3 millions d’un fond d’investissement, Redpoint Ventures il y a de cela quelques jours (consultez l’article techcrunch à ce sujet).

Ces nouveaux arrivants sont objectivement bien plus structurés en interne que PHP, qui se traîne entre autres depuis des années son système de nommage de fonctions anarchique :

• 2 ou to ? (strtolower, strtoupper, nl2br, bin2hex …)
• _ ou rien ? (str_replace, strip_tags, urlencode, stripslashes …)
• Singulier ou pluriel ? ($_FILES, $_COOKIE …)

(Plus de détails sur cet article de PHP Index : Et si PHP était audité demain ?)

Mais PHP, c’est aussi des aspects de fonctionnement qui ont été souvent au centre de nombreuses polémiques, avec parmi ces bad practices :

• magic_quotes, ou l’échappement automatique des caractères, créant de nombreux problèmes de portabilité d’une configuration à l’autre, de performance et de compréhension du code.
• register_global, désactivée par défaut depuis PHP 4.2. Les trous de sécurité créés par certains développeurs utilisant cette option ne compensait pas la fausse facilité de programmation qui semblait offerte.

PHP5, c’est encore des lacunes dans le traitement des chaînes de caractères multi-octets. Les fonctions internes de PHP4 ou 5 ne sont pas capables de traiter des chaînes multi-octets (en UTF8 par exemple), il faut passer par des extensions tels que mb_string, et utiliser les fonctions correspondantes : mb_strlen, mb_strpos, mb_strtolower … Sans cela, des problèmes importants sont à craindre. Exemple simple :

• echo strlen(utf8_encode(’ééé’)); –> 6
• echo mb_strlen(utf8_encode(’ééé’));–> 3

Sur l’internet de nos jours, les vrais projets se font dans une perspective multi-langues. Le jeu de caractère généralement choisi est l’UTF8, et il est alors nécessaire de respecter une chaîne d’encodage identique de la source vers la destination. Il faut alors être rigoureux, connaitre les good practices afin d’éviter les erreurs :

• La vérification des chaînes de caractères doit utiliser les fonctions mb_* ou utiliser des fonctions telles que utf8_encode ou ut8_decode, ce qui ne facilitent pas forcément le code et sa performance.
• Le type d’encodage doit être respecté entre le format d’entrée, le format de sortie, l’écriture des fichiers PHP, eux même en UTF8 si ils contiennent des chaînes destinées à être affichées. Sinon il ne faut pas oublier de passer tous textes destinés à être affichés par utf8_encode, mais en contrepartie d’un traitement supplémentaire qui aurait pu être économisé
• De même, la liaison à une éventuelle base de donnée doit se faire dans le jeu de caractères utilisé “nativement” (en MySQL, le très pratique SET NAMES ‘UTF8′ en début de connexion par exemple).

Bref, vous l’aurez compris, savoir bien développer aujourd’hui en PHP n’est plus aussi facile que dans l’internet d’il y a 5 ans, où les sites développés n’ont jamais été aussi complexes que maintenant. Les contraintes de développement des projets du web 2 imposent un ensemble de good practices qu’il est nécessaire de maitriser.

Le PHP est t’il devenu inadapté et dépassé ?

PHP6

En développement depuis au moins 2 ans, la version finale n’est toujours pas disponible mais ça arrive. Le planning de développement est fixé, et les nouveautés sont là (je vous invite à lire cet article paru sur l’IBM Developper Works il y a quelques jours).

Quelles sont donc ces avancées ?

• Un bon nettoyage pour tuer définitivement les bad practices rémanente chez certains. On peut donc dire adieu sans regrets aux fonctions découlant de l’activation des magic_quotes, register_globals, et autres register_long_arrays.

• Ensuite, un support natif de l’unicode. Ca tient sur une ligne dans le changelog, mais c’est probablement la partie qui a été la plus consommatrice de temps, car il a fallut réécrire tout le moteur Zend. Résultat : on pourra utiliser les fonctions classique strlen, substr, strpos … avec des chaînes formatées en UTF-8. Adieu donc les extensions iconv et mb_string qu’il fallait se trainer ou alors le switch entre utf8_decode/encode.

• Fin de la dualité entre les expressions régulières POSIX (ereg*) et PCRE (preg_*). Tant mieux, les PCRE étant plus complètes et performantes.

Mais finalement, que reste t’il de nouveau pour les bons développeurs respectant déjà les bonnes pratiques et n’étant quasiment pas concernés par tout ces changements ?

Pas grand chose, hormis les namespaces, qui vont être aussi portés en PHP 5.3, donc ne sont plus vraiment un privilège de PHP6 ;o.

On n’aura malheureusement pas encore droit à une meilleure consistance dans le système de nommages des fonctions internes. Je pense qu’il aurait été judicieux dans PHP6 de revoir toutes ces incohérences, quitte à attendre plus longtemps, car PHP6 est résolument une version introduisant de nouvelles fondations bien plus propres et solides, et ça fait un peu tâche de se traîner ce système anarchique.

La question finale sera concernant l’adoption de PHP6 chez les hébergeurs mutualisés. Beaucoup trop sont toujours en PHP4, alors que sa fin a sonné.

PHP6 est une version importante qui va sans aucun doute améliorer la qualité et la sécurité du code pour beaucoup, ainsi qu’offrir de nouvelles performances.

Mais combien de temps avant que PHP6 ne soit réellement adopté ?

Graphique nexen.net

11 mai – Nexen.net: Le Futur de PHP 6

10 mai – Nexen.net: Le meilleur du mois d'Avril 2008

	40 formulaires Web inspirants (1124 hits)
	Lire et écrire des feuilles excel en PHP (1115 hits)
	PHP.JS (1080 hits)
	Les Stats PHP font du bruit (1029 hits)
	Gmapper 1.2 (984 hits)
	Delphi pour PHP version 2.0 (965 hits)
	Multithreading avec PHP et CURL (905 hits)

10 mai – Nexen.net: Myriades de proxy pour MySQL

10 mai – Nexen.net: Alertes sécurité des applications PHP et MySQL, édition 201

10 mai – Nexen.net: Actualité de développement PEAR, edition 201

10 mai – ~tigrou/pwet.fr: Les nouveautés de PHP6

Vu sur l'IBM Developer Works un court et synthétique article sur les nouveautés attendues dans PHP6 , encore plus en bref :

• Support de l'Unicode
• Ajout des Namespaces
• Activation des modules SOAP , XMLWriter , XMLReader par défaut
• Suppression des options de configuration magic_quotes , register_globals , register_long_array , safe_mode
• Suppression du support de Freetype1, GD1 et des fonctions liées aux expressions rationnelles POSIX

Il est dommage que ce passage ne soit pas l'occasion de refondre l'API pour y apporter une cohérence regrettée ...