Lettres


[Actu PHP] Lettre N.188 Dimanche 24 Octobre 2004
************************************************************
L'actualité PHP et MySQL
avec Nexen.net
http://www.nexen.net/
Dimanche 24 Octobre 2004
************************************************************

Attention :
Cette lettre hebdomadaire est distribuée aux personnes
qui se sont inscrites sur le site nexen.net, comme membres et
comme destinataires de cette lettre. Les instructions de
modifications sont disponibles en bas de ce mail.

Des commentaires? des questions? des informations à suggérer?
Contactez l'éditeur de la lettre avec l'adresse indiquée en
bas de ce mail.

Edito
=====
Avec 40% de part de marché, PHP est un acteur incontournable
des serveurs sur internet. Il suffit d'une alerte sécurité
pour qu'un nombre significatif de serveurs soient affectés.

Heureusement, il n'y a aucune alerte actuellement. D'ailleurs,
sur la série des 4.x, PHP a sorti seulement 3 versions de
corrections sur 23 versions au total. Elles ont été publiées
avant la publication de la vulnérabilité, sauvegardant ainsi
les utilisateurs. De plus, la majorité des vulnérabilités sont
identifiées par le groupe PHP avant publication. Ouf.

La prochaine fois que vous verrez une alerte de sécurité PHP
et que le site de php.net ne propose aucune solution, demandez
vous qui a intérêt à diffuser du FUD (Fear, Uncertainty, Doubt,
soit Peur, Incertitude, Doutes).

Damien Seguy

Venez discuter sur le forum de la lettre hebdo :
http://www.nexen.net/forum/list.php?f=14

Site de la semaine
==================
Prométhée est un projet placé sous licence GNU/GPL visant
à fournir un intranet pédagogique et administratif "clef en
main" aux établissements de l'enseignement public.

De nombreuses fonctions ont été implémentées :
+ Gestion de listes personnel et élèves
+ Forums de discussions
+ Gestion de galeries d'images
+ Gestion des réservations (salles,
matériel pédagogiques, véhicules, ...)
+ Gestion des stages professionnels des élèves
+ Système de publication par Internet (modèle SPIP)
+ Documents collaboratifs (modèle wiki)
+ Post-it (messagerie instantanée)
+ Gestion de flash infos
+ Campus virtuel
+ Weblog

Prométhée Online · open learning
http://promethee.eu.org/

******************** Publicité ****************************
Leader français de l'hébergement sur plate-forme Linux
(source Witbe/Journal du Net ), Nexen Services vous propose
ses solutions d'hébergement à forte valeur ajoutée. Depuis
les plates-formes mutualisées jusqu'aux architectures
multi-serveurs, les ingénieurs de Nexen Services vous
accompagnent et vous apportent les solutions optimales.

Contactez nous au 01-42-57-10-13 pour une analyse de vos besoins.

Plus d'infos sur le site internet http://www.nexenservices.com/
******************** Publicité ****************************


Au sommaire
===========
  • [1] Open Source ou outsource?
  • [2]  Le Porte-document
  • [3] Actualité de développement PEAR
  • [4] PDO et les couches d'abstraction de bases de données
    • * [5] Alertes de sécurité des applications PHP / MySQL
    22/10/2004
    * [6] Patch safe_mode :
    * [7] " MASS_SCAN_PHP " : un virus très commercial
    * [8] Mysql-Front 3.1 build 11.8
    * [9] Téléchargements binaires
    * [10] Actualité de développement PECL
    * [11] PHP-HTA interface
    * [12] PHP 5 : nouveautés
    21/10/2004
    * [13] MAMP
    * [14] Parole de gourou : "Comment éviter les erreurs 'Page
    has expired'"
    * [15] Sauvegardes MySQL
    * [16] "Les SGBD deviennent donnés"
    * [17] "La spatialisation libre avance : tour d'horizon"
    20/10/2004
    * [18] Cinq livres pour découvrir PHP 5 par indexel
    19/10/2004
    * [19] Prométhée 3.1
    18/10/2004
    * [20] Nouvelle version de MySQL : 4.1.6
    * [21] Tutoriel pour Seagull
    * [22] Tutoriel complet LiveUser
    * [23] Prométhée 3.1, un intranet pédagogique et administratif


    Toute l'actualité en détails :
    ===============================

    [1] Open Source ou outsource?Haut ]
    ------------------------------------------------------------
    Outsourcer permet de confier un mandat à une compagnie
    externe, qui réalisera la mission bien mieux qu'une équipe
    interne et qui supprimera une source de distraction pour
    cette même équipe. L'Open Source, de son côté, réduit
    considérablement les coûts et permet de conserver un
    savoir faire en interne.

    Dans les relations classiques entre les techniciens et les
    managers, c'est généralement comme cela que la balance se
    fait. Voici un article intéressant de Chad Dickerson sur la
    question épineuse de l'Open Source face aux partenariats
    technologiques.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/24/3609,0,1,0,0.php3


    [2]  Le Porte-documentHaut ]
    ------------------------------------------------------------
    " Le Porte-document (ou Document Manager en anglais) est un
    programme en php qui permet à chacun de partager des
    documents en ligne, via une interface web facile et
    configurable. L'administrateur du porte-document peut créer
    des comptes utilisateurs et leur donner des droits sur les
    documents. Ce projet est utilisé par plusieurs hébergeurs
    français pour leurs clients et sera mis à disposition pour
    AlternC, un logiciel libre d'hébergement automatique. "
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/24/3607,0,1,0,0.php3


    [3] Actualité de développement PEARHaut ]
    ------------------------------------------------------------
    12 paquets ont été mis à jour cette semaine :

    Config : le couteau suisse des configurations
    Console_Getargs : analyseur d'arguments de ligne de
    commande
    DB_QueryTool : Interface OOP pour lire des données dans une base
    File_Fstab : lecture et écriture de fichier fstab
    HTML_Form : paquet de génération de formulaires
    HTML_QuickForm : génération, validation et traitement de
    formulaires
    HTML_Template_Sigma : implémentation des 'Integrated
    Templates API', avec compilation
    LiveUser : framework d'identification et de gestion des
    droits
    MDB_QueryTool : interface OOP pour lire et modifier des
    données dans une base
    Numbers_Words : paquet d'écriture littérale des nombres
    (en anglais)
    Text_CAPTCHA : génération d'images CAPTCHA
    (identification des robots)
    XML_MXML : framework pour construire une application à
    partir de Macromedia Flex
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/24/3606,0,1,0,0.php3


    [4] PDO et les couches d'abstraction de bases de donnéesHaut ]
    ------------------------------------------------------------
    Alan Knowles publie une lettre ouverte qui se positionne
    contre l'inclusion de PDO, une extension PHP d'abstraction
    de bases de données, dans PHP. Selon lui, il existe déjà au
    moins 2 bibliothèques viables pour faire cela, sans compter
    la future interface avec libgda ou encore dbx. Il y a donc
    une concurrence certaine qui s'est installée, et chaque
    solution s'adapte à différentes situations.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/23/3605,0,1,0,0.php3


    [5] Alertes de sécurité des applications PHP / MySQLHaut ]
    ------------------------------------------------------------
    PHP et MySQL ne font l'objet d'aucune alerte sécurité dans
    leurs versions courantes :
    PHP 4.3.9 et PHP 5.0.2; MySQL 4.0.21 et MySQL 4.1.6.
    Les mises à jour sont recommandées vers ces versions.

    10 alertes sécurité ont été émises cette semaine,
    concernant des applications :
    MediaWiki, CoolPHP, Serendipity, YaPiG, PSCRIPT, PBlang,
    GnoFract 4D, CUPS, cabextract, Turbo Traffic Trader.

    MediaWiki Title.php Cross-Site Scripting Vulnerability
    CoolPHP Multiple Remote Input Validation Vulnerabilities
    Serendipity Unspecified HTTP Response Splitting
    Vulnerability
    YaPiG comments Cross-Site Scripting Vulnerability

    + CUPS Multiple Integer Overflow Vulnerabilities
    http://secunia.com/advisories/12921/
    + PSCRIPT Forum SQL Injection Vulnerabilities
    http://secunia.com/advisories/12868/
    + PBLang Unspecified Vulnerabilities
    http://secunia.com/advisories/12880/
    + cabextract Directory Traversal Vulnerability
    http://secunia.com/advisories/12882/
    + Gnofract 4D ".fct" Arbitrary Code Execution
    Vulnerability
    http://secunia.com/advisories/12855/
    + Turbo Traffic Trader Nitro settings.php SQL Injection
    http://www.phpsecure.info/v2/script/ClicBackend.php?15381
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/23/3604,0,1,0,0.php3


    [6] Patch safe_mode :Haut ]
    ------------------------------------------------------------
    "En bref : ce patch permet à PHP d'écrire dans des
    dossiers qu'il crée lui-même lorsqu'il est utilisé sous
    forme de module Apache, avec le safe_mode activé. "

    En effet, avec le safe mode, PHP ne touche pas aux fichiers
    qui ne sont pas créés par le même utilisateur que celui qui
    a créé le script. Or, si PHP crée un dossier (ou un fichier),
    ce dernier appartient alors au "serveur Web", ce qui rend
    son utilisation impossible. La situation est paradoxale,
    puisque PHP est alors capable de créer un document qu'il
    ne peut manipuler. Ce patch résout ce problème.

    D'autres solutions sont possibles pour traiter cela,
    notamment utiliser les restrictions de groupe, et non
    plus d'utilisateur.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/22/3603,0,1,0,0.php3


    [7] " MASS_SCAN_PHP " : un virus très commercialHaut ]
    ------------------------------------------------------------
    En début de semaine, MASS_SCAN_PHP était annoncé comme le
    pire virus PHP que la Terre ait connu. Il exploite surtout
    l'ignorance des développeurs et celle des administrateurs.
    Ce n'est pas un problème PHP, mais bien celui de
    l'application.

    Avec la fonction include (et ses dérivés), il est possible
    d'inclure dans une application PHP du code PHP provenant
    d'un autre serveur. Dans les applications les moins bien
    protégées, le nom du fichier inclus dans le script est
    fourni en paramètre (GET ou POST), et surtout, n'est
    jamais filtré. Il devient donc possible de faire inclure
    du code arbitraire dans l'application. Le problème existe,
    il est grave, mais de nombreuses solutions existent :
    + Filtrer les données avant de les utiliser dans include()
    pour s'assurer que le fichier inclus est local.
    + Interdire les accès aux fichiers distants (gestionnaires URL)

    Ces deux techniques sont à la portée de n'importe quel
    développeur un peu consciencieux.

    Passer par un Firewall est aussi possible. N'importe quel
    firewall permettra de bloquer les accès depuis le serveur
    vers l'extérieur, mais l'application développée restera
    non sécurisée et vulnérable. Il suffira alors que le firewall
    soit désactivé 5 mins pour une mise à jour, et toute
    l'infrastructure sera vulnérable. Plusieurs ont déjà
    connus ce type de mésaventure.

    En conclusion, les articles parus depuis quelques jours
    sur les portails français, et pas ailleurs, à propos de
    MASS_SCAN_PHP sont faussement alarmistes, et destinés à
    mettre en lumière un éditeur en mal de publicité : du
    commercialisme crasse.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/22/3602,0,1,0,0.php3


    [8] Mysql-Front 3.1 build 11.8Haut ]
    ------------------------------------------------------------
    "A l'heure où MySQL a su s'imposer comme la base de
    données SQL gratuite, les clients permettant de s'y
    connecter sont bien rares. Que vous ayez un site web ou que
    vous gériez une petite base de données pour vos films,
    MySQL est partout. Or l'utilisation de cette dernière
    nécessite de connaître le langage SQL, pas toujours simple
    et parfois fastidieux. Il empêche la plupart des débutants
    d'utiliser la base de données qui leur est offerte."

    MySQL-Front est un shareware pour plate-forme Windows.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/22/3601,0,1,0,0.php3


    [9] Téléchargements binairesHaut ]
    ------------------------------------------------------------
    Pour Robert Bernier, un site qui se respecte propose des
    documents en téléchargement et pas seulement en ligne.
    Cela se fait sur tous les sites qui souhaitent collecter
    des informations sur leurs visiteurs en échange
    d'informations ou de documentations. C'est un moyen
    classique et accepté pour qualifier son audience. Il
    propose un système pour récolter ces informations avant
    téléchargement.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/22/3600,0,1,0,0.php3


    [10] Actualité de développement PECLHaut ]
    ------------------------------------------------------------
    Un paquet PECL a été mis à jour cette semaine.

    esmtp : client ESMTP

    PECL est la bibliothèques d'extensions PHP.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/22/3599,0,1,0,0.php3


    [11] PHP-HTA interfaceHaut ]
    ------------------------------------------------------------
    PHPgeek publie une nouvelle bibliothèque GUI, basée sur les
    fichiers HTA (Microsoft's HTML Applications). Cela permet
    de réaliser des interfaces graphiques de type PHP-GTK, mais
    en écrivant du code HTML, CSS et Javascript.
    "En bref, cela donne une application traditionnelle,
    mais développée comme une application Web.".
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/22/3598,0,1,0,0.php3


    [12] PHP 5 : nouveautésHaut ]
    ------------------------------------------------------------
    Newsforge propose un article de fond sur les nouvelles
    fonctionnalités de PHP 5. Un peu en retard par rapport à
    juillet, mais il est toujours intéressant de voir les
    avantages mis en avant.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/22/3597,0,1,0,0.php3


    [13] MAMPHaut ]
    ------------------------------------------------------------
    MAMP est la plate-forme d'Applications Web
    Macintosh-Apache-MySQL-PHP. Elle dispose désormais d'un
    installateur créé par webedition, qui édite un CMS. MAMP est
    une compilation d' Apache, Mysql, PHP, Turck MMCache et
    phpMyAdmin pour Macintosh OS X. La version Pre-Release
    1.0.a2 (anglais) installera les versions suivantes :
    Apache  2.0.50, PHP 4.3.8 , MySQL 4.0.20 . L'installateur est
    disponible sous forme de paquet ou d'image disque.

    Merci à Guillaume Plessis pour l'info.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/21/3596,0,1,0,0.php3


    [14] Parole de gourou : "Comment éviter les erreurs 'Page has expired'"Haut ]
    ------------------------------------------------------------
    Chris Shiflett inaugure une nouvelle série d'articles qui
    paraîtront dans PHP-magazine. Il s'agit d'une colonne
    mensuelle sur les problèmes les plus courants en PHP. Ce
    mois-ci, il s'intéresse aux pages qui ne sont pas dans les
    caches du navigateur. Il faut maîtriser les entêtes de
    cache HTTP pour s'assurer que ce type de message n'apparaît plus.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/21/3595,0,1,0,0.php3


    [15] Sauvegardes MySQLHaut ]
    ------------------------------------------------------------
    Ian Gilfillan passe en revue les différentes techniques pour
    sauvegarder une base de données MySQL. En SQL ou en données
    brutes est la première question. Les outils disponibles
    sont alors nombreux :

    + mysqldump
    + Commande BACKUP
    + Réplication
    + mysqlhotcopy
    + InnoDB Hot Backup
    + Log binaires
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/21/3594,0,1,0,0.php3


    [16] "Les SGBD deviennent donnés"Haut ]
    ------------------------------------------------------------
    "Les outils open source exercent une pression
    importante sur le marché. Les SGBDR gratuits ou à prix
    cassés se multiplient.

    Pour répondre à la pression des outils open source et
    renouer avec la croissance de leurs ventes, IBM et Oracle
    commercialisent de nouvelles versions de leurs bases de
    données autour de 5 000 euros - soit sept fois moins cher
    que leurs versions Entreprise. Microsoft et Sybase donnent
    carrément leurs bases relationnelles (SGBD). Au-delà de
    l'effet d'annonce, ces versions vont-elles générer de
    vraies économies pour les entreprises ? Selon IDC, le coût
    de licence des SGBDR représente 15 % de leur coût total de
    possession ( TCO )."
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/21/3593,0,1,0,0.php3


    [17] "La spatialisation libre avance : tour d'horizon"Haut ]
    ------------------------------------------------------------
    "La spatialisation de l'information est un thème à la
    mode depuis quelques années, et progressivement on voit
    poindre et évoluer pour nos OS libres des logiciels
    efficaces, puissants et crédibles répondant à toutes sortes
    de besoins. Je vous propose un petit tour d'horizon sur les dernières évolutions des outils principaux
    et, pour
    commencer, deux petits mots pour ceux qui ne seraient pas
    familiers avec ces outils : ..."

    La suite sur LinuxFr.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/21/3592,0,1,0,0.php3


    [18] Cinq livres pour découvrir PHP 5 par indexelHaut ]
    ------------------------------------------------------------
    Indexel vous recommande les 5 livres suivants, en français :


    + PHP 5 avancé, Eric Daspet, Cyril Pierre de Geyer -
    Eyrolles
    + PHP 5 - Les cahiers du programmeur, Stéphane Mariel avec la contribution de Jean Zundel - Eyrolles
    + PHP 5 pour les nuls, Janet Valade - First Interactive
    + Tout en poche - PHP 5 et MySQL. Matt Zandstra - Cam
    + PHP 5 - Référence, Nicolas Borde, Arnaud Marhin, Marc
    Thévenet - Micro Application
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/20/3591,0,1,0,0.php3


    [19] Prométhée 3.1Haut ]
    ------------------------------------------------------------
    Prométhée est un intranet pédagogique et administratif
    "clef en main" destiné aux établissements de
    l'éducation publique.

    Il est écrit en PHP et son code est placé sous licence
    GNU/GPL.

    Une démo est disponible en ligne sur le site officiel avec plusieurs profils : administrateur, enseignant
    ou élève.

    Parmi les fonctions implémentées vous trouverez :
    - Gestion de listes (personnel et élèves)
    - Forums de discussions
    - Galeries d'images
    - Gestion des stages professionnels des élèves
    - Système de publication par Internet (modèle SPIP)
    - Documents collaboratifs (modèle wiki)
    - Post-it (messagerie instantanée)
    - Gestion de flash infos
    - Gestion des réservations (matériel, salles, ressources
    pédagogiques, ...)
    - Weblogs
    - Campus virtuel
    - Mise à disposition de ressources pédagogiques en ligne
    - Recherche par mots-clés au sein des messages ou des
    ressources
    - Sondages
    - ...
    ------------------------------------------------------------
    Dominique Laporte (dominique.laporte@educagri.fr)
    http://www.nexen.net/news/gen.php/2004/10/19/3590,0,1,0,0.php3


    [20] Nouvelle version de MySQL : 4.1.6Haut ]
    ------------------------------------------------------------
    MySQL 4.1.6, une nouvelle version de la base de
    données Open Source a été publiée. Elle est disponible
    en source et en version compilée, pour de nombreuses
    plates-formes, depuis les pages de téléchargement de
    MySQL et ses miroirs : http://www.mysql.com/downloads/.

    Notez que tous les miroirs n'ont pas encore fait la
    mise à jour : si vous ne pouvez pas trouver cette version
    sur un miroir, essayez plus tard, ou choisissez un autre
    miroir.

    Ceci est une version de correction de bogues pour
    la version de production courante.

    MySQL 4.1.6 est une des dernières versions avant que la
    série des 4.1 passe en mode de production. Il est
    hautement recommandé de la tester, pour pouvoir remonter
    tout problème à MySQL avant la publication finale.

    Reportez-vous à la base de bogues http://bugs.mysql.com/
    pour plus de détails sur les bogues individuels, corrigés
    par cette version.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/18/3589,0,1,0,0.php3


    [21] Tutoriel pour SeagullHaut ]
    ------------------------------------------------------------
    Seagull est un framework de développement, proposé par
    Demian Turner. Le framework est destiné aux clients de
    Demian, mais il est finalement devenu un projet à part
    entière. Seagull utilise le modèle MVC (Modèle, Vue
    Controleur) pour gérer les requêtes.

    Le modèle MVC permet de séparer la logique métier, la
    présentation et les validations. La documentation de
    Seagull vous donnera tous les détails sur les fondements
    théoriques, et sur la mise en oeuvre de ce modèle pour PHP.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/18/3588,0,1,0,0.php3


    [22] Tutoriel Complet LiveUserHaut ]
    ------------------------------------------------------------
    LiveUser est un paquet PEAR dont le but est de fournir un
    framework fonctionnel pour identifier des utilisateurs et
    gérer leurs droits. LiveUser ne tend pas à être une
    solution unique, mais un cadre dans lequel organiser son
    système de droits. Arnaud Limbourg a un tutoriel complet
    sur le sujet. Merci à PHPKitchen pour le lien.
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/18/3587,0,1,0,0.php3


    [23] Prométhée 3.1, un intranet pédagogique et administratifHaut ]
    ------------------------------------------------------------
    "Prométhée est un intranet pédagogique et administratif
    ''clef en main'' destiné aux établissements de l'éducation
    publique. Il est écrit en PHP et son code est placé sous
    licence GNU/GPL. Prométhée est utilisé depuis plus de 2 ans
    dans plusieurs établissements (LEGTA de Gap, Digne,
    Croix-Rivail, etc...) et la dernière version stable 3.1 est
    disponible depuis peu."
    ------------------------------------------------------------
    http://www.nexen.net/news/gen.php/2004/10/18/3586,0,1,0,0.php3




    ***************************************************************
    La lettre hebdomadaire est relue par Pascal Bédard
    ***************************************************************
    Pour modifier votre abonnement ou vous désincrire :
    http://www.nexen.net/services/login.php?direction=diffusion.php

    Pour retrouver votre accès membre sur nexen.net :
    http://www.nexen.net/services/motperdu.php

    Pour devenir membre de nexen.net :
    http://www.nexen.net/services/login.php?direction=diffusion.php

    L'actualité journalière sur nexen.net :
    http://www.nexen.net/news/index.php

    Contact de l'éditeur
    damien.seguy@nexen.net
    ***************************************************************
    Cette lettre hebdomadaire est un service de Nexen.net,
    portail technologique PHP et MySQL éditée par la société
    Nexen Services SA au capital de 49.536 Euros
    inscrite au registre du commerce de Paris : RCS B 423 995 224
    [Retour]