Lettres
[Actu PHP] Lettre N.129 Dimanche 15 Février 2004
************************************************************
L'actualité PHP et MySQL
avec Nexen.net
http://www.nexen.net/
Dimanche 15 Fevrier 2004
************************************************************
Attention :
Cette lettre hebdomadaire est distribuée aux personnes
qui se sont inscrites sur le site nexen.net, comme membres et
comme destinataires de cette lettre. Les instructions de
modifications sont disponibles en bas de ce mail.
Des commentaires? des questions? des informations à suggérer?
Contactez l'éditeur de la lettre avec l'adresse indiquée en
bas de ce mail.
Edito
=====
Une semaine mouvementée pour PHP : quelques extensions,
beaucoup de remue-ménage dans le code de PHP 5 pour la
beta4 et PHP 4.3.5. Après des phases lentes, voici l'une des
phases rapides de développement.
Cela survient généralement après l'accumulation de code
et cette fois-ci, ce fut soudainement déclenché par la non
compilation de la version CVS. Une chasse au bug a été
lancée et continue à bon train, afin de ne pas trop retarder
la diffusion de la version finale.
Et le groupe PHP attend de la communauté de l'aide concrète,
via le site de l'assurance Qualité. Compiler, tester, ou même,
ajouter des tests est une tâche qui incombe à tous, et qui est
trop souvent sous-estimée.
Direction : http://qa.php.net/
Damien Seguy
Site de la semaine
==================
01php a donc pour principal objectif de constituer un réseau
d’entraide pour tous les développeurs.
Plusieurs fonctionnalités sont disponibles en accès membres
comme l\'ajout ou la suppression des scripts dans un panier virtuel
ou encore la personnalisation du site (nombre d\'éléments affichés
par page, tri, couleurs et disposition des pages).
Depuis son lancement début octobre 2003, 01php connaît
une hausse régulière de sa fréquentation et tente désormais
de se faire mieux connaître au sein de la communauté PHP.
Francois
http://www.01php.com
Au sommaire
===========
Toute l'actualité en détails :
===============================
[1] Chroot d'Apache et PHP [ Haut ]
------------------------------------------------------------
Chroot (ou aussi, être chrooté) consiste à ce que le
programme prenne un dossier comme la racine. En termes de
sécurité, le chroot permet de confiner un programme dans
une sous-arborescence donnée et de s'assurer qu'il n'en
sortira pas: plusieurs utilisateurs sont ainsi bien
cloisonnés.
Sur BSD, jail existe et, en plus des capacités de chroot, il
permet de limiter les accès du processus.
Sur le site du même auteur : Installer MySQL sur BSB.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/15/2664,0,1,0,0.php3
[2] Php@home : installez PHP 5 bêta 4 sans souci! [ Haut ]
------------------------------------------------------------
Vous voullez utiliser PHP 5 mais pas configurer un serveur
apache?
Découvrez en avant-première php@home !
PHP@Home permet d'installer tout ce dont vous avez besoin
pour commencer à programmer en PHP 5 avec Apache et SQLite.
Il vous simplifie l'installation grâce à un setup qui vous
évite toute la configuration du serveur, et
l'administration des bases de données grâce à
SQLiteManager.
Ainsi en 1 minute vous pourrez utiliser PHP dans sa
dernière version !
------------------------------------------------------------
@drien (http://www.phpathome.fr.tc)
http://dev.nexen.net/news/gen.php3/2004/02/15/2659,0,1,0,0.php3
[3] Sortie de HTML_Progress 1.1 [ Haut ]
------------------------------------------------------------
Je viens de publier sur le site de PEAR la dernière version
en date du package HTML_Progress (création de barres de
progression en php).
Cette version 1.1 apporte :
le support du téléchargement (upload) de fichiers d'un
client web vers un serveur ftp en faisant apparaître une
barre de progression durant toute l'opération.
le support du rendu d'affichage (renderers) des
formulaires QuickForm (QF) est maintenant pleinement
opérationnel. Voir introduction, lien, ci-dessous.
la classe HTML_Progress_Generator vient de naître.
C'est en fait un version améliorée du ProgressMaker de la
v1.0 (création dynamique de barres de progression: "atelier
du peintre")
l'intégration au sein de vos pages pour créer des sites
de démonstration personalisés est grandement facilitée.
la création des sources php et ou css correspondant à
vos designs est mis à disposition en consultation/téléchargement.
Facile pour les débutants ne voulant pas lire la doc, mais
incorporer leur chef d'oeuvre directement dans leur page.
Les articles en français/anglais correspondant à ces
nouveautés devraient bientôt voir le jour sur mon site
perso.
Bonne découverte.
------------------------------------------------------------
Laurent Laville (http://www.laurent-laville.org)
http://dev.nexen.net/news/gen.php3/2004/02/15/2662,0,1,0,0.php3
[4] Actualité de développement de PEAR [ Haut ]
------------------------------------------------------------
8 mises à jour cette semaine :
+ Auth_PrefManager: Classe de gestion des préférences
+DB : Couche d'abstraction de bases de données
+ HTML_Progress : Une barre de chargement en XHTML
+ Image_Graph : Graphiques statistiques
+ Net_IMAP : Implémentation du protocole IMAP
+ Net_Ping : Ping
+ Net_UserAgent_Mobile : Analyseur de chaînes de navigateurs
+ PhpDocumentor : documentation automatiques de sources PHP
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/15/2663,0,1,0,0.php3
[5] Alertes de sécurité [ Haut ]
------------------------------------------------------------
MySQL ne fait actuellement l'objet d'aucune alerte sécurité
dans sa version courante (4.0.18).
9 alertes de sécurité ont été émises concernant des
applications PHP et MySQL.
Elles concernent PHP Nuke, PHPCodeCabinet, Jack Form mail,
BosDate et ezContent.
PHPCodeCabinet Multiple Cross-Site Scripting
Vulnerabilities
http://www.securityfocus.com/bid/9645
PHPNuke Category Parameter SQL Injection Vulnerability
PHP-Nuke 'News' Module Cross-Site Scripting Vulnerability
http://www.securityfocus.com/bid/9605
PHP-Nuke 'Reviews' Module Cross-Site Scripting
Vulnerability
http://www.securityfocus.com/bid/9605
PHP-Nuke Public Message SQL Injection Vulnerability
http://www.securityfocus.com/bid/9615
Brad Fears PHPCodeCabinet comments.php HTML Injection
Vulnerability
Joe Lumbroso Jack's Formmail.php Unauthorized Remote File
Upload Vulnerability
ezContents 2.0.2 PHP Code Injection Vulnerability
BosDates SQL Injection Vulnerability
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/14/2661,0,1,0,0.php3
[6] Identification chiffrée sur le web [ Haut ]
------------------------------------------------------------
Vous utilisez l'identification HTTP lorsque le visiteur
reçoit une fenêtre de dialogue, dans laquelle il doit
entrer un login et un mot de passe. L'avantage de cette
méthode est qu'elle est simple à réaliser et fonctionne
même au niveau du serveur web.
Par contre, si vous n'avez pas de certificat SSL, les mots
de passe circulent sur le web en clair, et quiconque pourra
lire le vôtre en surveillant votre connexion.
Thomas Pike a rencontré ce problème, et il a passé le temps
nécessaire pour comprendre la RFC de référence (2617), puis
généré une implémentation du protocole. Les mots de passe
ne sont plus échangés en clair.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/14/2660,0,1,0,0.php3
[7] Direction|PHP du mois de février 2004 est paru! [ Haut ]
------------------------------------------------------------
Direction|PHP du mois de Février 2004 est paru!
+ Bâtir un serveur SMS avec PHP et Gnokii par Eric
Persson
+ Toutes les nouveautés de MySQL 5 par Damien Séguy
+ Piloter une enseigne lumineuse avec PHP par Guillaume
Giraudon
+ Écrire une extension PHP (2) par Wez Furlong
+ Tribune libre : licences libres par Guilaume Plessis
Et aussi
+ Optimisez vos applications PHP par Ilia Alshanetsky
+ Profilage des applications PHP par George Schlossnagle
+ Gestion hors-ligne avec PHP-Gtk par Morgan Tocker
+ Les faiblesses de l'identifiant de sessions par Chris
Shiflett
68 pages / 4,0 Mo / prix = 5,5 ¤
Direction|PHP est le premier mensuel
francophone dédié aux professionnels de la plate-forme
PHP-MySQL, publié en format PDF et distribué
électroniquement.
Direction|PHP répond aux besoins de la communauté
grandissante des développeurs, architectes, designers,
directions informatiques, qui utilisent la plate-forme
PHP/MySQL dans leurs activités professionnelles quotidiennes.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/13/2658,0,1,0,0.php3
[8] MySQL 4.0.18 publié [ Haut ]
------------------------------------------------------------
MySQL AB vient de publier la version 4.0.18 de sa base de
données.
C'est désormais les dernières corrections de la série des
4.0.
La 4.1 est d’ores et déjà disponible au téléchargement,
estampillée alpha.
Les codes sources de la version 5.0 sont accessibles en
téléchargement.
Les corrections couvrent le support de la réplication, un
nouvel utilitaire, les requêtes multi-tables. Les bogues
sont très spécifiques dans cette version,
Il est recommandé de changer votre version.
MySQL AB travaille d’ores et déjà sur une version 4.0.19.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/13/2657,0,1,0,0.php3
[9] Zend Optimizer 2.5.0 [ Haut ]
------------------------------------------------------------
Zend Optimizer fonctionne à partir de PHP 4.0.5. Les
anciennes versions doivent prendre un version plus ancienne
de l'optimizer.
Zend Optimizer optimise les codes PHP. Il est idéalement
utilisé avec un accélérateur ou un encodeur, qui
travaillent déjà sur le code PHP pour l'accélérer ou
masquer les sources. Les optimisations permettent de gagner
jusqu'à 40% de vitesse. L'optimisation est moins efficace
sans cache.
Zend Optimizer est une application gratuite, éditée par
Zend Technologies.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/13/2656,0,1,0,0.php3
[10] PHP 5 Beta4 out ! [ Haut ]
------------------------------------------------------------
PHP 5.0 Beta 4 vient à l'instant d'être publiée ! Cette
quatrième beta de PHP 5 est censée être la dernière (sauf
si une mauvaise surprise survient, ce qui est arrivé avec
la beta 3).
Cette version inclue une douzaine de corrections de bogues,
un support des exceptions réécrit, une amélioration du
support des interfaces, un nouveau support de SOAP qui est
encore expérimental et un tas d'autres améliorations dont
certaines sont documentées dans le ChangeLog.
------------------------------------------------------------
didou (didou@keliglia.com)
http://dev.nexen.net/news/gen.php3/2004/02/12/2655,0,1,0,0.php3
[11] Sortie de MySQL-Administrator [ Haut ]
------------------------------------------------------------
MySQL-AB vient de sortir sa nouvelle interface
d'administration de sa célèbre base de données :
MySQL-Administrator.
Cette interface graphique vous permet de gérer complètement
votre serveur MySQL, que vous soyez sous Windows ou sous
Linux.
La version actuelle est en Alpha et MySQL-AB recommande de
sauvegarder vos données importantes avant de la tester.
N'hésitez donc pas à faire remonter les bogues.
------------------------------------------------------------
Yannick (yannick.torres@keliglia.com)
http://dev.nexen.net/news/gen.php3/2004/02/12/2653,0,1,0,0.php3
[12] Retour du résumé de la semaine PHP [ Haut ]
------------------------------------------------------------
Après une brève interruption, le résumé de la semaine est
enfin de retour :
* TLK : Activer bcmath par défaut
* TLK : HTTP digest authentication dans PHP 5
* TLK : PHP sur Netware
* NEW : Extension SOAP
* TLK : PHP 5.0.0 RC1
Le résumé de la semaine prochaine parlera sûrement du
passage de la fonction dl() en deprecated (déconseillée) !
------------------------------------------------------------
didou (didou@keliglia.com)
http://dev.nexen.net/news/gen.php3/2004/02/12/2652,0,1,0,0.php3
[13] MySQL s'est largement amélioré ces dernières années [ Haut ]
------------------------------------------------------------
"MySQL était squelettique 5 ans auparavant, mais
aujourd'hui, c'est une compagnie dont les investisseurs
supportent le développement."
Oracle ou IBM vendent des bases plus puissantes, pour un
Coût très supérieur et des contrats de services onéreux.
Alex Salkever relate l'aventure de Pricegrabber.com, une
compagnie internet qui a résisté à la bulle internet, car
elle ne dépendait pas d'investisseurs, et a mis en place un
modèle d'affaires à faibles coûts .
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/11/2651,0,1,0,0.php3
[14] Xdiff, TCPwrapper [ Haut ]
------------------------------------------------------------
La documentation PHP a été mise à jour hier, avec l'ajout de
deux sections xdiff et tcpwrap, traduite en temps record
par Mehdi Achour (alias didou).
xdiff permet la création et l'application de patchs pour
les fichiers binaires ou textes.
TCP wrappers fournit un mécanisme classique Unix conçu pour
vérifier si le client est capable de se connecter à
partir d'une IP donnée.
La documentation en ligne et en téléchargement est
disponible. La version PHP.net sera en ligne à la prochaine
publication de la documentation.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/11/2650,0,1,0,0.php3
[15] Anthologie PHP : les caches [ Haut ]
------------------------------------------------------------
Harry Fueck publie un nouvel extrait de son livre
'Anthology PHP', consacré aux système de cache.
Il répond aux questions comme :
+ comment éviter la mise en cache par les navigateurs
+ comment forcer la mise en cache par les navigateurs
+ les caches par blocs
Direction|PHP propose aussi un article sur les caches, et
notamment Cache_Lite, disponible dans PEAR.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/11/2649,0,1,0,0.php3
[16] Vulnérabilité PHP [ Haut ]
------------------------------------------------------------
Une vulnérabilité affectant PHP a été identifiée : si un
fichier texte ou HTML dispose des droits d'exécution, PHP
charge un autre fichier .ini que celui du serveur web,
permettant une escalade des autorisations, et la levée de
toutes les configurations de sécurité.
La solution principale consiste à ne pas avoir de fichiers
avec des droits d'exécution : sur un serveur web, cela ne
sert à rien. Les scripts PHP ont simplement besoin d'être
lus, ils seront exécutés par un programme qui, lui, a les
droits d'exécution.
Un patch a été ajouté et sera disponible dans les
prochaines versions de PHP4 et PHP5.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/10/2648,0,1,0,0.php3
[17] Flux OpenOffice, HTML et Wiki [ Haut ]
------------------------------------------------------------
Christian Stocker (chregu pour les intimes), vient de
publier les premiers tests de filtres pour les flux PHP :
ils acceptent respectivement un document Open Office, du
HTML mal formé et du langage Wiki, et en tire une version
XHTML compatible.
Pendant que vous y êtes, vous pouvez regarder popoon, la
bibliothèque de développement de Christian.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/10/2647,0,1,0,0.php3
[18] Géolocalisation en PHP [ Haut ]
------------------------------------------------------------
Dans le premier article, Simon Moss nous présentait une
méthode pour placer des points sur une carte bitmap : a
partir des coordonnées enregistrées dans la base de
données, il était possible de situer le point
géographiquement.
Mais les cartes sont rares, et généralement peu adaptées à
l'utilisation spécifique : si vous voulez un détail sur
l'île de la cité ou celle de Montréal, cela va devenir
difficile. La solution est d'utiliser une carte
vectorielle, qui est définit par des équations, et permet
un niveau de zoom infini (ou presque).
Un excellent complément au premier article.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/10/2646,0,1,0,0.php3
[19] Éviter les attaques par XSS [ Haut ]
------------------------------------------------------------
Pour vous protéger des XSS, validez vos données : n'utilisez
jamais les valeurs issues des formulaires sans leur
appliquer des filtres de données, qui ne conserveront que
des valeurs valides. Harry Fueck vous recommande d'utiliser
des modules de PEAR::HTML_Quick_Form, ou PEAR::Validate.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2004/02/09/2645,0,1,0,0.php3
***************************************************************
La lettre hebdomadaire est relue par Pascal Bédard.
***************************************************************
Pour modifier votre abonnement :
http://www.nexen.net/services/login.php?direction=diffusion.php
Pour devenir membre de nexen.net :
http://www.nexen.net/services/login.php?direction=diffusion.php
L'actualité journalière sur nexen.net :
http://www.nexen.net/news/
Contact de l'éditeur
damien.seguy@nexen.net
***************************************************************
Cette lettre hebdomadaire est un un service de Nexen.net,
portail technologique PHP et MySQL éditée par la société
Nexen Services SA au capital de 49.536 Euros
inscrite au registre du commerce de Paris : RCS B 423 995 224