Toute l'actualité francophone sur PHP en un seul flux

Novembre 2006 – sahid.funraill.org: PHP AJAX - HTTP Identification avec Cryptographie Asymétrique

Une identification PHP/AJAX utilisant la Cryptographie Asymétrique

Voila une maniÚre d’aborder AJAX, on va essayer de mettre au point un systÚme d’identification
des utilisateurs avec PHP/MySQL, mais aussi en utilisant
de l’AJAX histoire de rester dans le web 2.0 …de plus pour agrémenter un peu les choses on utilisera une technique de cryptographie asymetrique tiré de RSA, cela peut être utile si vous n’avez pas les moyens ou pas envie d’acquerir une clef ssh valide.

Identification PHP AJAX RSA

Principe de la Cryptographie Asymétrique

En gros, dans notre cas,
On a un mot de passe crypteé en MD5 en base de donnée. Le serveur génere une clef publique qu’il garde en session et l’envoi au client, cette clef sera le facteur commun entre le serveur et le client.
Notre client envoi la clef publique, le mot de passe haché une premiere fois avec l’algorithme MD5, et une deuxieme fois avec la clef publique.
Donc le serveur recoit un mot de passe haché avec la clef publique, et la clef publique, il n’a plus qu’a verifier que la clef publique envoyée est bien identique la sienne gardeée en session, et recuperer le mot de passe crypté en MD5 de la base de donnée, le hacher avec la clef publique et verifier que les deux mots de passe (celui envoyé par le client haché avec la clef publique, et celui recuperé de la DB hacher avec la clef publique) correspondent.

Cahier des charges :

Soyons pro un cahier des charges peut etre interessant histoire de savoir ou on met les pieds.
Notre projet visera la simplicité, (…je ne suis pas reponsable si vous vous faites hacker !! lol …)

  • Tournera sur Firefox et Internet Explorer
  • Les utilisateur n’ayant pas activé JS pour X raisons, pourront quand meme se logger ( ou non … a vous de voir)
  • Une petite console, histoire de voir les échanges client serveur
  • je reflechis !

Prerequit :

On utilisera deux bibliotheques permettant un hash md5, une en Javascript et l’autre en PHP, elle sont dans l’archive.

C’est parti !

Je ne vais pas detailler pas pas le projet, juste donner la methode … (je n’ai pas dis non plus que c’etait la meilleure !)
pourquoi ? … parce qu’au moment ou j’ecris ces lignes, j’ai faim … ensuite parce que je laisse les sources du projet,
puis faire des petites recherches personnelles c’est le mieux.

Le Client

Pour la partie client, en premier, on va initialiser une clef publique qui sera envoyée au serveur par l’intermediaire du formulaire

  1. session_start();
  2. $_SESSION[‘cle’] = uniqid(mt_rand(), true);          // génération d’une clé publique unique
  3.  

maintenant on va mettre en place un formulaire qui sera envoyé seulement apres avoir recu l’accord de la methode
javascript httpRequest(), qui, elle, acceptera l’envoi du formulaire seulement si l’utilisateur n’a pas activé Javascript, dans le cas
contraire, elle utilisera la methode HTTPRequestXML pour envoyer les informations du formulaire au serveur

  1. <form method=“POST” action=“serveur.php” id=“formCrypt” onsubmit=“return httpRequest()”>
  2.         <input type=“hidden” id=“js” name=“js” value=“0″/>
  3.         <label>
  4.                 <input type=“text” id=“cle” name=“cle” value=“<?=$_SESSION[’cle’]?/>" size="33" disabled/>
  5.                 Clef publique<br />
  6.         </label>
  7.         <label>
  8.                 <input type=”text” id=”username” name=”username” size=”33“/>
  9.                 Nom d’utilisateur<br />
  10.         </label>
  11.         <label>
  12.                 <input type=”password” id=”password” name=”password” size=”33“/>
  13.                 Mot de passe<br />
  14.         </label>
  15.         <input type=”submit” id=”submit” name=”submit” value=”Connexion S&eacute;curis&eacute;e“/>                 
  16. </form>

La methode httpRequest, est en fait celle qui va gérer les requêtes avec le serveur, seulenemt avant d’envoyer la requête,
on a besoin d’hacher le mot de passe avec la clef publique generée au préalable.

  1. function httpRequest() {
  2.         var request;
  3.         var p, u, c;
  4.  
  5.         // instance de l’objet pour la communication avec le serveur
  6.         if ( window.XMLHttpRequest ) {
  7.             request = new XMLHttpRequest();
  8.             request.overrideMimeType(‘text/xml’);       // force l’en-tete des reponses en XML
  9.         } else if ( window.ActiveXObject ) {
  10.             request = new ActiveXObject(“Microsoft.XMLHTTP”);
  11.         }
  12.  
  13.         // impossible d’utiliser AJAX
  14.         if (!request) {
  15.                 return true; // envoi du formulaire normal !
  16.         }
  17.        
  18.         // — Traitement des données du formulaire
  19.         u = $(‘username’);
  20.         p = $(‘password’);
  21.         c = $(‘cle’);
  22.        
  23.         // hachage du password avec la clef publique (le mdp est aussi haché en md5)
  24.         p.value = hex_hmac_md5(c.value, hex_md5(p.value));
  25.  
  26.         // — Traitement des reponses du serveur
  27.         request.onreadystatechange = function() { traitement(request) }
  28.  
  29.         request.open(‘POST’, ’serveur.php’, true);                                                      // préparation de la requête
  30.         request.setRequestHeader(‘Content-Type’, ‘application/x-www-form-urlencoded’);
  31.         request.send(‘username=’+u.value+‘&password=’+p.value+‘&cle=’+c.value+‘&js=1′);  // envoi de la requête
  32.        
  33.         return false; // évite l’envoi du formulaire
  34. }

Donc maintenant on est prêt a envoyer une requete au serveur avec un mot de passe crypté qui nous evitera ainsi de se faire sniffer par des
méchants pirates !; la methode traitement(), elle, reagit aux reponses du serveur

  1. function traitement( request ) {
  2.         // vérification de l’état de la requête ( 4 = terminée )
  3.         switch (request.readyState) {
  4.                 case 0 :                                                                                                // 0 non initialisé
  5.                         affiche(‘requ&ecirc;te non initialisée !’)
  6.                 break;
  7.                 case 1 :                                                                                                // en cours de chargement
  8.                         affiche(‘requ&ecirc;te en cours de chargement …’)
  9.                         onLoad();
  10.                 break;
  11.                 case 2 :                                                                                                // chargée
  12.                         affiche(‘requ&ecirc;te charg&eacute;e !’)
  13.                         offLoad();
  14.                 break;
  15.                 case 3 :                                                                                                // en cours d’interaction avec le serveur
  16.                         affiche(‘requ&ecirc;te en cours de d\’int&eacute;raction avec le serveur …’)
  17.                 break;
  18.                 case 4 :                                                                                                // terminée   
  19.                         affiche(‘requ&ecirc;te termin&eacute;e !’);
  20.                         if ( request.status == 200 ) {
  21.                                         reponse(request.responseXML);
  22.                         } else
  23.                                 affiche(‘Un probl&egrave;me est survenu avec la requ&ecirc;te’);
  24.                 break;
  25.         }
  26. }

Le serveur

Voyons un peu comment le serveur doit nous retourner les reponses,
Deja on veut de l’AJAX, donc elles nous seront retournées en XML, javascript manie plutot bien le DOM.

j’utilise une classe pour l’identification que je ne presenterai pas ici, elle sera dans les sources a telecharger

  1. // Javascript est actif, Traitement AJAX
  2. if ( $js === 1 ) {
  3.         $con = new Cryptographie($_SESSION[‘cle’]);
  4.        
  5.         usleep(800000)// simulation de délai en local
  6.        
  7.         $cle = $con->checkCle($_POST[‘cle’]);
  8.         if ( $cle ) {
  9.                 $db_mdp = $con->checkUsername($_POST[‘username’]);
  10.                 if ( $db_mdp !== false )
  11.                         $ok = $con->checkPassword($db_mdp, $_POST[‘password’]);
  12.         }
  13.                        
  14.         $erreurs = $con->erreurs;
  15.        
  16.         header(‘Content-type: text/xml’);
  17.         if ( count($erreurs) !== 0 ) {
  18.                 foreach ( $erreurs as $num => $erreur )
  19.                         echo ‘<xml><numero>’.$num.‘</numero><message>’.$erreur.‘</message></xml>’;
  20.         } else {
  21.                 //$_SESSION[’user’] = $_POST[’username’];       // - on ouvre une session, l’utilisateur est connecté !
  22.                 echo ‘<xml><numero>0</numero><message>CONNEXION_ACCEPTEE</message></xml>’;
  23.         }
  24. } else {
  25.         // traitement normal
  26.         echo ‘js n\’est pas actif !’;
  27. }

La console

Dans le cahier des charges on a parlé de créer une console afin de voir un peu comment reagit notre code …
ca sera en fait une simple fonction javascript qui nous permettra de sonder chaque partie du code que l’on souhaite.

  1. function affiche(msg) {
  2.         $(‘console’).innerHTML += “< ?=$_SERVER[’REMOTE_ADDR’]?> : “+msg+“<br />”;
  3. }

Cryptographie PHP/MySQL -AJAX - RSA

Novembre 2006 – Noplay: Vérification de syntaxe lors d'un commit SVN

Lorsque l'on travaille en équipe avec subversion le commit d'un fichier PHP syntaxiquement incorrect ne devrait jamais arriver, mais pourtant une erreur est vite arrivée. C'est pour cela, que j'ai configuré svn pour qu'il refuse les commit de fichier PHP avec des erreurs de syntaxe.

Pour cela on va utiliser l'option -l de PHP qui permet de vérifier la syntaxe.

Subversion possède un système de hook permettant de se brancher à diverses étapes d'une opération. Le hook qui nous intéresse est celui de pre-commit. Il se situe après le start-commit qui permet de verifier qu'une personne a le droit de commiter et avant le post-commit qui est lancée une fois que la révision a été ajoutée au SVN.

Un hook est un programme (un script shell suffit) qui reçoit de SVN des arguments en ligne de commande et qui renvoi le code d'erreur 0 en cas de succés et 1 sinon.

Le hook de pre-commit

Pour créer un hook de pre-commit allez dans le répertoire hooks de votre SVN sur le serveur et créez un fichier pre-commit avec les droits d'exécution.

Voici le contenu du fichier pre-commit pour la vérification de la syntaxe PHP :


#!/bin/sh

REPOS="$1"
TXN="$2"

changed=`$SVNLOOK changed -t "$TXN" "$REPOS"`
phpfile=`echo $changed | awk '{print $2}'`
if echo $phpfile | grep .php
then
$SVNLOOK cat -t "$TXN" "$REPOS" "$phpfile" | php -l
if [ $? -ne 0 ]
then
echo "Syntax error in $phpfile." 1>&2
exit 1
fi
fi

# All checks passed, so allow the commit.
exit 0
Merci à Stem pour la relecture.

Novembre 2006 – Dur Comme Faire: Rendez-vous AFUP sur le Zend Framework

Un rendez-vous AFUP sur le Zend Framework aura lieu le mercredi 6 décembre 2006, à Paris. L’objectif de ce rendez-vous est de découvrir le Zend Framework avec de nombreuses démonstrations à l’appui : sa communauté, les arcanes de son développement, son intérêt pour le monde...

Novembre 2006 – Digital Fashion: dotdeb et PDO_Mysql

Pour ceux:

  1. qui utilisent le repository dotdeb
  2. qui se demandent pourquoi php5-pdo-mysql a disparu
  3. qui ne lisent pas les news de dotdeb

Sachez que php5-pdo-mysql a été renommé/fusionné en php5-mysql.

C'était l'info utile (ou pas) du jour.

Novembre 2006 – Digital Fashion: Linux + gVim + Rox-filer = Mon IDE.

Une des questions cruciales qui se pose à tout développeur à au moins un moment de sa vie (souvent plusieurs en fait) est le choix d'un environnement de développement. J'en ai testé pas mal, plus ou moins longtemps, et bien que je ne sois jamais complètement satisfait, l'idée de perdre du temps à développer le mien m'indispose. J'ai donc opté pour l'environnement qui me va le mieux: Linux + gVim + Rox-filer.

Note: je ne couvre pas ici les fonctionnalités de débuging avancé, que je n'utilise pas encore, mais pour lesquelles j'ai déjà en tête des solutions qui me conviendront bien mieux que les outils intégrés à un quelconque IDE (je pense fortement à Xdebug).

Comment définir un IDE ?

Commençons par le début: qu'est-ce qu'un IDE ? Acronyme de Integrated Development Environment, le terme peut prendre pas mal de signification selon la personne à laquelle on s'adresse. Pour certains, le plus c'est le mieux, alors que pour d'autre, le moins c'est le pas plus mal finalement. On pourra citer quelques exemples connus d'IDE full-featured, tels que les incournables Zend Studio, Eclipse et autres phpEdit, mais ce n'est pas le but de cet article. Ici, je vais vous expliquer pourquoi et comment j'utilise quotidiennement gVim et Rox-filer, et le tout sous Ubuntu.

Revenons en à nos moutons, un environnement de développement, c'est constitué de quelques briques primordiales:

  1. Un éditeur de code
  2. Un navigateur de fichier
  3. Un truc qui fait tourner tout ça

Peu importe qu'ils soient intégrés ou non, finalement. Personnellement, je suis un fervent adepte du précepte une tâche, un outil, donc je preferre qu'ils soient dissociés.

L'éditeur de code: gVim

Certains perdent leurs moyens à la simple évocation de son nom, vim n'est pourtant rien de plus que le plus puissant des éditeurs de fichier aujourd'hui disponible dans le monde (un troll s'est malicieusement glissé dans cette affirmation, saurez-vous le retrouver ?). Ce qui déroute au premier abord dans vim, c'est finalement ce qui fait toute sa puissance: le mode commande. J'ai longtemps utilisé bluefish, et finalement las de ses quelques bugs bien énervants (wtf syntax color ?), j'ai décidé de faire le grand pas, et d'utiliser vim. J'avais bien sur déjà une expérience de cet éditeur, mais retenez bien que le meilleur moyen de maitriser un outil aussi puissant que vim, ce n'est pas de se jeter à corps perdu dans la doc, mais c'est d'investir du temps incrémentiellement: commencer à utiliser vim, et quand on souhaite faire quelque chose qu'on ne sait pas faire, lire la doc correspondante[1]. Pour finir, j'ai traduit il y a quelque temps un excellent tutoriel sur vim: L'édition efficace avec vim, donc n'hésitez pas.

Un .vimrc qu'il est joli

Comme la plupart des applications *nix, vim autorise l'utilisation d'un fichier ~/.vimrc. S'il peut paraitre compliqué au premier abord d'élaborer un .vimrc efficace, il ne faut pas se décourager, car comme d'habitude, il y a tout ce qu'il faut sur le net. J'en veux pour preuve les excellents articles de Tobias Schlitt à ce sujet.

Pour info, quelques directives de configuration utiles qu'on peut trouver dans mon .vimrc:

" Supprime un buffer de la mémoire via le raccourci clavier Ctrl+W
noremap <C-W> :bdel!<CR>

" Active l'indentation automatique
set autoindent

" Active les plugins de type de fichier
filetype plugin on

" Active la coloration syntaxique
syntax on

" Thème de couleur pour gVim
colorscheme desert

" Utiliser des tabs de 4 caractères pour l'indentation
set noexpandtab tabstop=4 shiftwidth=4

" Activer la souris (molette, sélection, etc)
set mouse=a

" Afficher des infos dans la barre de status
set ruler
set laststatus=2

" Activer la numérotation des lignes
set number

" Utiliser la recherche incrémentielle
set incsearch

" Ne pas surligner les résultats de recherche
set nohlsearch

Quelques unes (beaucoup en fait) de ces directives sont tirées du .vimrc de Tobias.

Dernier détail pour les réfractaires de la ligne de commande, gVim s'execute en mode graphique, avec une interface GTK conviviale qui permet d'apprendre les raccourcis aisément, et qui gère la souris (défilement à la molette, etc, et d'ailleurs, même en console ça gère la souris, il suffit d'un :set mouse="a" pour l'activer).

Un ftplugin pour le PHP

Ce qu'on appelle ftplugin dans vim permet de configurer vim en fonction du type de fichier que l'on édite. Tobias fournit un ftplugin spécialisé dans l'édition du PHP plutôt bien foutu, qui gère la plupart des features convi-enabled des soit disants IDE évolués:

  • Complétion des fonctions
  • Complétion des mots-clés
  • Auto-fermeture des crochets, parenthèses, etc.
  • Auto-génération des docblocks PHPDoc
  • Vérification de syntaxe du fichier édité
  • Et d'autres trucs merveilleux !

La classe non ?

Un navigateur de fichier kirox (tm)

C'est pas moi qui le dit, en fait c'est comme le port-salut, rox-filer rox, c'est tout. Pour ceux que ma puissance de persuasion ne suffit pas, et bien rox-filer offre tout ce que vous pourriez attendre d'un gestionnaire de fichier moderne:

  • Navigation spatiale avec technologie oupas (tm)
  • Prévisualisation des images
  • Personnalisation (aisée !) des applications utilisées pour lancer les fichiers (en fonction du mimetype)
  • Navigation one-click (oupas (tm))
  • Navigation aisée au clavier
  • Monitorage des fichiers en cours d'utilisation (ils apparaissent en gras, ce qui est pratique).
  • Et j'en passe et des meilleurs.

Bref, il fait tout ce que ferait un filebrowser intégré, mais en mieux, puisqu'il est dédié dès le début à cette tache. Afin de le faire interragir au mieux avec gVim, j'utilise la Run action suivante sur le mimetype text/*:

gvim --servername ash0 --remote-silent-tab "$@"

Qui permet d'ouvrir le fichier dans un nouveau tab de vim, en créant une instance d'un server vim à la volée si il n'existe pas déjà (ici le server s'appelle ash0, mais vous pouvez bien évidemment en changer le nom).

Une distribution du bien: Ubuntu

Et parcequ'il faut bien faire tourner tout ça, j'utilise un système d'exploitation du bien (tm): GNU/Linux. Mais comme j'ai la flemme, j'utilise une configuration convi-enabled: Ubuntu. Pas besoin de s'étaler je pense, Ubuntu c'est bien, tout le monde en conviendra.

Un window-manager léger et puissant: fluxbox

Le choix du gestionnaire de fenêtre peut par contre préter a controverse. En effet, c'est ici avant tout une question de gout et de puissance de machine. J'ai personellement un penchant pour les logiciels puissants et légers. Là je vous vois venir avec vos gros sabots: tout le monde veut ce genre de logiciel. Et bien j'ai envie de répondre que non. La majorité des neo-geeks de la génération Ubuntu s'en donnent à coeur joie sous Gnome et/ou KDE, qui est loin de ce qu'il convient d'appeler un logiciel puissant et léger, sous prétexte que les autres WM (à part KDE), saitrocomplicai. Bon là ok, j'amalgame surement un peu (beaucoup même, tous les gens sous Gnome ne sont pas des neo-geek, et l'inverse également), mais il manquait un peu de trollitude dans cet article. Bref, quand on veut, on peut, et comme les gens ne switchent pas de Gnome à un WM plus puissant et plus léger, j'en conclus (peut-être à tord hein) qu'ils ne veulent pas.

Tout ça pour dire que j'utilise fluxbox, et ce depuis ma plus tendre enfance. Fluxbox est léger (osez prétendre le contraire...) et puissant: il permet:

  • de reconfigurer l'intégralité du comportement de vos fenêtres
  • une gestion fine et puissante des raccourcis claviers (j'ai pu reconfigurer les touches convi de mon clavier convi en quelques minutes dans mon .fluxbox/keys grâce à xev).
  • de controler facilement quelles applications se lancent au démarrage
  • de controler encore plus facilement sur quels bureaux se lancent les sus-citées applications

Par exemple, mon .fluxbox/startup démarre sur le premier bureau quelques terminaux, un gaim et un exaile; sur le deuxième bureau un firefox sur le troisième bureau: sylphee, et sur le quatrième bureau, un rox-filer. A coté de ça, je dispose de raccourcis claviers conviviaux pour lancer mes logiciels favoris: le terminal (Mod4[2]+e), rox-filer (Mod4+r), etc. J'ai également à ma disposition des raccourcis claviers pour gérer mes fenêtres: maximiser (horizontalement (Ctrl+Alt+H), verticalement -Ctrl+Alt+V), ou les deux (Ctrl+Alt+M)), enrouler (Mod4+S), sticker (Ctrl+Alt+S), enlever les décorations (Ctrl+Alt+T), et j'en passe.

Enfin, et le plus important pour moi, fluxbox est non-intrusif. Par défaut, un bureau standard de mon fluxbox ne contient rien. Pas de barre des taches, pas d'icones, pas de menu, rien. Question de gout je vous l'accorde, mais là encore, notez que "c'est faisable": fluxbox ne vous impose rien, et surtout pas les choix discutables car subjectifs des développeurs.

Subversion en ligne de commande

Enfin, j'utilise le client subversion en ligne de commande. D'une part parceque je ne connais pas de client digne de ce nom en GTK (ma religion m'interdit d'utiliser Qt), d'autre part pour profiter pleinement de la puissance qu'offre un shell quand on sait un minimum s'en servir. Pouvoir passer mes commandes svn dans des awk, sed, et autres grep (surtout grep en fait), ça n'a pas de prix, et je pense vraiment qu'aucune interface graphique n'arrivera jamais à la cheville de la puissance d'un shell.

Deuxième avantage à utiliser svn en ligne de commande: le jour où je serais obligé de le faire, je saurais le faire.

Conclusion

Voilà, vous savez (presque) tout de mes habitudes de travail (il reste pas mal de domaines à couvrir quand même, je n'ai pas parlé par exemple de mes extensions firefox favorites, ni de mon utilisation intensive de trac, et encore moins des tests unitaires, peut-être une prochaine fois), et j'espère vous avoir donné l'envie de regarder d'un peu plus près ces outils à la réputation peut-être un peu geek, mais d'une puissance incomparable une fois maitrisés :-)

Notes

[1] :help commande est en général d'une grande utilité

[2] Le petit nom de la touche Windows

Novembre 2006 – Digital Fashion: Collections, Object Chaining, et la vérité sur le Père Noël

Aujourd'hui je vais vous parler de deux concepts que j'aime beaucoup et que j'ai (re)découverts en travaillant sur mon projet personnel de conquête de l'univers: les Collections d'objets et l'Object Chaining.

Les collections, qui sont peut-être finalement un design pattern connu sous un autre nom, permettent d'executer aisément des méthodes sur plusieurs objets (une collection d'objets quoi). Concrétement, disons qu'on à une classe My_Collection, qui implémente les interfaces Iterator (et Countable tant qu'a faire) de la SPL, ainsi que la fonction magique __call suivante (je vous fait grace du docblock):

class My_Collection implements Iterator, Countable {
	public function __call($method, $args) {
		$calls = 0;
		foreach($this as $item) {
			if (method_exists($item, $method)) {
				call_user_func_array(array($item, $method), $args);
				$calls++;
			}
		}
		if ($calls > 0) {
			return $this;
		} else {
			throw new My_Collection_Exception('Method catched but could not be called: '.$method);
		}
	}
}

Ce dispositif permet d'utiliser le genre de code suivant (si les objets de la collection le permettent, bien évidemment, et disons qu'ici ce sont des objets représentant des images, supportant les méthodes move et createThumbnail):

# $array contient les objets My_Image
$collection = new My_Collection($array);
$collection->move('/new/path/')->createThumbnail();

Ce qui, comme vous l'aurez deviné, déplacera les fichiers de la collection vers /new/path, puis en créera des miniatures.

Deuxième chose, l'Object Chaining. On vient de le voir en fait, ça consiste à chainer les appels de méthodes grâce à un subtil return $this;, qui retourne donc une référence à l'objet courant. Exemple pratique, dans le Zend Framework, en étendant Zend_View:

class My_View extends Zend_View {
	public function assign($spec) {
		$args = func_get_args();
		call_user_func_array(array('parent', 'assign'), $args);
		return $this;
	}
}

Ce qui autorise le genre de code suivant (en admettant que vous ayiez une instance de My_View dans le registre):

Zend::registry('view')
	->assign('foo', $foo)
	->assign('foo', $bar)
	->render('template.php');

Et là c'est fort, parceque ça rejoint fortement quelque chose dont je parlais en janvier dernier (le truc qui parle de with), et donc j'en déduis une chose formidable: Le père noël existe, et il m'a entendu. Merci Santa Copain.