Lettres


[Actu PHP] Lettre N.62 Dimanche 23 Février 2003
************************************************************
L'actualité PHP et MySQL
avec Nexen.net
http://www.nexen.net/
Dimanche 23 Fevrier 2003
************************************************************

Attention :
Cette lettre hebdomadaire est distribuée aux personnes qui se
sont inscrites sur le site nexen.net, comme membre et comme
destinataire de cette lettre. Les instructions de modifica-
tions sont disponibles en bas de ce mail.

Des commentaires? des questions? des informations à suggérer?
Contactez l'éditeur de la lettre avec l'adresse indiquée en
bas de ce mail.

Edito
===Encore une fois, le group PHP aura fait preuve de professionnalisme,
en éditant lui même l'annonce et la correction du bug de sécurité
qui est sorti la semaine dernière. C'est un autre membre de la
communauté
qui l'a détecté.

A noter que ce n'est que très recemment que PHP 4.1.2 a finalement
détroné la version 4.0.6 au titre de la version la plus répandue. Toutes
fois la version 4.2.x est sur ses talons. PHP 4.3.x est en vue, mais
ne représente que 5 a 6 fois moins de serveur que 4.2.x.
Quand à la 3.x, il n'en reste plus qu'une fraction de serveurs. En fait,
il existe plus de serveurs disposant de PHP 4.3.x que de serveurs
utilisant
PHP 3.x.
De toutes manières, le groupe PHP ne supporte plus que les 4.2.x, 4.3.x
et les futures 4.3.2, 4.5.x et 5.x.

Damien Seguy

Site de la semaine
=============PEARfr.org, les francophones et PEAR
PEAR, sous-projet de php, fournit de nombreuses librairies PHP de très
bonne qualité, associées à des règles et standarts clairs ainsi qu'un
sous-ensemble PEAR dédié aux extensions traditionnels PHP, spécifiques à
PEAR ou migrant de la distribution PHP standart.

La mise en place de ces différentes librairies et extensions est
facilitée par l'outils de gestion de package, déjà fournit avec les
dernières versions de php pour les sytèmes Unix, et le sera dès la 4.3.2
pour les versions Windows. Ce sytème permet enfin une méthod simple
pour distribuer vos créations, toute plateforme confondue.

Afin de vous accompagner dans la découverte des différentes parties de
PEAR, quelques dévelopeurs PEAR francophones se sont réunis pour la
création de documentations à destination de la communauté francophone.

L'autre activité principale est de permettre à des auteurs francophones
de mettre à dispositions leurs documents (tutoriaux, documentations
officielles,...) à disposition de la communauté PHP en général,
prouvant, si celà est nécessaire, la qualité des auteurs francophones.

Les langues que nous allons supportées, en dehors du français, seront
l'allemand et l'anglais, correspondant à nos connaissances
respectives. Si vous désirez nous aider à traduire ou rédiger de
nouveaux documents (quelques soit la langue), nous vous accueilleurons
avec plaisir.

L'équipe de pearfr.org

Au sommaire
==========23/02/2003
* [1] Vulnérabilités d'applications en PHP
22/02/2003
* [2] Les systèmes de templates sont obsolètes
21/02/2003
* [3] Est ce que le support final des Logiciel libres est trop
court?
* [4] Garantir l'accès aux fichiers PHP
* [5] Visualisez votre base de données avec des images
20/02/2003
* [6] Mise à disposition de la présentation MySQL - FOSDEM 2003
* [7] Maitriser les index en texte plein de MySQL
* [8] Un design de base MySQL sécurisé
* [9] Les archives de phpinfo.net sont disponibles
19/02/2003
* [10] ZPMag N°14 publié
* [11] Améliorer la sécurité de vos cookies
18/02/2003
* [12] Un client Gnutella pour PHP
* [13] Combiner PHP et Microsoft SQL Server
17/02/2003
* [14] Alerte sécurité en PHP 4.3.0 : Vulnérabilité de la version
4.3.0
* [15] Résultats des 3 Heures du PHP
* [16] Résumé Zend n° 125
* [17] Résumé PEAR de la semaine.
* [18] Améliorer ses pages d'erreur


Toute l'actualité en détails :
============================[1] Vulnérabilités d'applications en PHP
Si vous utilisez ces applications, consultez les lignes, et
protégez vous!
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2003/02/23/1521,0,1,0,0.php3


[2] Les systèmes de templates sont obsolètesHaut ]
------------------------------------------------------------
PHP a été créé pour être un système de template, et il a
évolué de lui même vers un langage complet. Naturellement,
il s'est créé un mouvement qui réimplémente les templates
avec une nouvelle couche de langage.
Jason Lotito, qui n'en est pas a son coup d'essai, jete une
nouvelle pierre dans la cour des activistes pro-templates :
les éléments de présentations sont gérés par les CSS, qui
maîtrisent bien mieux les éléments graphiques que PHP.
Rendant à terme leur utilisation incontournables, et PHP
passant définitivement coté logique professionnelle.
Jason en sais quelque chose, lui qui a refait son site en
CSS.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2003/02/22/1520,0,1,0,0.php3


[3] Est ce que le support final des Logiciel libres est trop court?Haut ]
------------------------------------------------------------
L'an dernier, PHP est passé de la version 4.1.2 à la 4.3.0,
en passant par la série des 4.2.0. PHP 5 est prévu pour
cette année.
Pourtant, la très grande majorité des utilisateurs sont
encore en PHP 4.0.6. et les bugs de cette version ne sont
quasiment plus étudiés.

Dans la page de bogues de PHP.net, les versions qui sont
autorisées pour les rapports de bugs sont les 4.3, 4.2.3,
et les versions de développement. Pour les autres, la mise
à jour est le premier pas.

Côté MySQL, la branche 3.23.x est toujours supportée, mais
surtout parce que la série des 4.x est tout juste en train
de décoller... et MySQL 5 est déjà prévu pour la fin de
l'année.

On comprend facilement que les développeurs de PHP aient
bien d'autres choses à faire que corriger des bugs des
versions aussi anciennes. Pourtant, les utilisateurs qui
choisissent une version (la dernière généralement) ne sont
pas toujours prêts à passer le temps qu'il faut pour en
changer. Alors, est ce que les cycles de version sont trop
rapides?
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2003/02/21/1519,0,1,0,0.php3


[4] Garantir l'accès aux fichiers PHPHaut ]
------------------------------------------------------------
Le système de permissions que PHP suit est directement
inspiré du système de droits Unix, avec les trois droits
(Écriture, Lecture, Exécution) et les trois utilisateurs
(Propriétaire, Groupe et les Autres). John Coggeshall
présente ces droits, et aussi les fonctions PHP destinées
aux changements de ces droits.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2003/02/21/1518,0,1,0,0.php3


[5] Visualisez votre base de données avec des imagesHaut ]
------------------------------------------------------------
Lorsque vous avez stocké de grande quantité d'information
dans votre base, il est important d'être capable de les
extraire et de les afficher proprement. Prenez simplement
les compteurs de hits : nombreux, et très différents les
uns des autres. Si vous pouvez extraire des données valides
avec une table HTML, cela ne parler probablement pas à
votre boss qui vous réclamera un PPT. En couleurs.

Heureusement, PHP a plus d'un tour dans son sac, et grâce à
GD, il est possible de sortir de magnifiques graphiques.
Ramsey Nasser nous en dit plus.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2003/02/21/1517,0,1,0,0.php3


[6] Mise à disposition de la présentation MySQL - FOSDEM 2003Haut ]
------------------------------------------------------------
Suite à mon article sur la conférence MySQL au FOSDEM 2003,
je me suis procuré la présentation de David Axmark.
Entièrement en anglais, elle est gracieusement fournie par
MySQL AB (propriéraire du copyright).

Elle est disponible au format Open Office en suivant le
lien ci-dessous...

Bonne lecture !
------------------------------------------------------------
Guillaume Plessis (http://www.moolfreet.com/)
http://dev.nexen.net/news/gen.php3/2003/02/20/1516,0,1,0,0.php3


[7] Maitriser les index en texte plein de MySQLHaut ]
------------------------------------------------------------
Ian Gilfillan nous avait présentés les index sur les champs
TEXT dans un article précédent, et il récidive avec un
article plus avancé.
Les index de champs TEXT sont avantageusement utilisé pour
faire des recherches dans des colonnes de très grande
taille, sans perte de performance liée à des recherches
sans index. Un palliatif consistait à rechercher la chaine
désirée dans le texte.
Avec les index, il est possible d'utiliser un mode Booléen,
sous la forme :
+php -asp
qui va recherche la colonne ou le mot PHP apparait, et le
mot ASP est absent. De quoi faire des moteurs de recherche
très fonctionnels
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2003/02/20/1515,0,1,0,0.php3


[8] Un design de base MySQL sécuriséHaut ]
------------------------------------------------------------
Securityfocus publie un article sur la mise au point d'un
design sécurisé pour sa base MySQL. En effet, bien souvent,
on se contente d'installer le logiciel, sans trop penser au
paramètre "sécurité".

L'article s'attarde sur les droits d'accès, la
configuration avancée, les architectures n-tiers, le
chiffrage, les sauvegardes...

En bref, une bonne introduction pour qui veut construire
une architecture robuste.
------------------------------------------------------------
Guillaume Plessis (http://www.moolfreet.com/)
http://dev.nexen.net/news/gen.php3/2003/02/20/1514,0,1,0,0.php3


[9] Les archives de phpinfo.net sont disponiblesHaut ]
------------------------------------------------------------
J'ai le plaisir de vous annoncer la mise en ligne des
Archives de phpInfo.net.
Elles ne comprennent pas tout ce que j'aurais voulu y
mettre initialement (faute de temps), mais vous y
retrouverez l'essentiel de vos contributions : Articles,
Annuaire, Scripts, Astuces et Regex.

Pour ces archives j'ai décidé d'utiliser ce qui aurait dû
être la nouvelle charte graphique de phpInfo si je n'avais
pas choisi de
fermer le site.
Elle est l'oeuvre de Christophe Dauder que je tiens à
saluer pour le travail réalisé.

Je précise qu'il n'est pas nécessaire d'aspirer le site
puisque toutes les pages que vous pourriez récupérer sont
disposnibles dans une archive au format ZIP téléchargeable
de la page d'accueil.

J-Pierre
------------------------------------------------------------
J-Pierre Dézélus (jpdezelus@phpinfo.net)
http://dev.nexen.net/news/gen.php3/2003/02/20/1513,0,1,0,0.php3


[10] ZPMag N°14 publiéHaut ]
------------------------------------------------------------
ZePHPMAg N°14 est publié officiellement.
Au programme :

+ Diagramme des processus
+ Le Zend Studio
+ CURL
+ Cache coté client et headers HTTP
+ Match phpAccelerator vs TurkMMcache
+ SAX vs DomXML vs XPath
+ PHP & MVC [ partie 3 ]
+ Les 3 heures du PHP n°2
+ Faq : Authentification de base avec PHP
+ Le coin bouquins
+ Le bookmark

ZePHPMag est un mensuel entièrement consacré à PHP. Il est
distribué sur le réseau au format PDF, au prix de 5 euros
l'unité ou 40 euros l'an.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2003/02/19/1512,0,1,0,0.php3


[11] Améliorer la sécurité de vos cookiesHaut ]
------------------------------------------------------------
Les cookies sont donc bien décriés par tous, mais toujours
aussi utilisés. Les internautes ne veulent pas d'un système
d'identification, et les webmestres doivent valider
constamment leur validité.
Sur ce point, frogman de phpsecure fait le point sur la
sécurité des cookies, et présente différentes techniques
pour limiter les risques de faille de sécurité.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2003/02/19/1511,0,1,0,0.php3


[12] Un client Gnutella pour PHPHaut ]
------------------------------------------------------------
Voici, NOVA, un client Gnutella pour les échanges de
fichiers, réalisé en PHP-GTK et GnucDNA. Le code source est
libre, donc vous pouvez le modifier à votre guise, et
l'utiliser immédiatement.

Merci à PHP Architect pour le lien.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2003/02/18/1510,0,1,0,0.php3


[13] Combiner PHP et Microsoft SQL ServerHaut ]
------------------------------------------------------------
Il semble se profiler une rébellion depuis quelques
semaines, où toutes les bases de données connectées à PHP
essaient de se rappeler au bon souvenir des programmeurs.
PostGreSQL, ODBC et maintenant, c'est un tutoriel pour
MicroSoft SQL server!
L'auteur réalise ici un site LAMP, où M represente
Microsoft SQL Server (comme il pourrait représenter mSQL ou
MySQL). En effet, le serveur web fonctionne sous Linux, et
dispose d'un pilote ad hoc pour se connecter à MSSQL.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2003/02/18/1509,0,1,0,0.php3


[14] Alerte sécurité en PHP 4.3.0 : Vulnérabilité de la version 4.3.0Haut ]
------------------------------------------------------------
Alerte sécurité en PHP 4.3.0 : Vulnérabilité de la version
4.3.0

Emise : 17 Février 2003
Version : PHP CGI en version 4.3.0
Plateforme : toutes

Le PHP group a appris l'existence d'un trou de sécurité
sérieux
dans la version CGI SAPI de PHP 4.3.0.

PHP contient du code pour prévenir l'accès direct à
l'exécutable
CGI avec l'option "--enable-force-cgi-redirect" et la
directive du php.ini
"cgi.force_redirect". En PHP 4.3.0, il existe un bug qui
rend cette option
inutilisable.

NOTE : ce bug n'affecte PAS les autres modules SAPI
(comme par exemple les modules Apache ou ISAPI, etc...)

Conséquences
Toute personne ayant accès au site web hébergé sur un
serveur web qui
emploie le module CGI peut exploiter ce trou pour obtenir
l'accès à
tout fichier accessible en lecture par l'utilisateur qui
fait tourner le serveur web.

Un utilisateur malintentioné peut aussi faire exécuter à
PHP du code arbitraire
si il arrive à injecter du code dans les fichiers
accessibles par le CGI.
Cela peut être par exemple les fichiers d'historique
d'accès.

Solution
Le PHP Group a publié une nouvelle version PHP 4.3.1 qui
inclut un correctif
pour cette vulnérabilité. Il est recommandé à tous les
utilisateurs qui sont affectés
de changer de version. L'URL de téléchargement est :

http://www.php.net/downloads.php

avec les nouvelles distributions incluant les sources, les
exécutables Windows
et un patch pour les sources de la version 4.3.0. You
n'avez besoin de vous mettre
à jour que si vous utiliser PHP 4.3.0 en mode CGI. Il n'y a
pas d'autres corrections
inclues dans cette version.

Palliatif

Aucun

Remerciements
Le PHP group souhaite remercie Kosmas Skiadopoulos pour la
découverte de
cette vulnérabilité.

Copyright (c) 2003 The PHP Group.
------------------------------------------------------------
Jani Taskinen (sniper@php.net)
http://dev.nexen.net/news/gen.php3/2003/02/17/1508,0,1,0,0.php3


[15] Résultats des 3 Heures du PHPHaut ]
------------------------------------------------------------
PHPApps publie les résultats du deuxième concours des
3heures du PHP : cette compétition de code PHP est
organiséee tous les deux mois, et donne lieu à la
programmation d'une application en PHP dans un temps de
3heures. Cette fois ci, ce fut la réalisation d'un wiki
(site web à contribution en PHP).
Bravo à Janfy, ssiruuk, Sébastien, Olivier et Mik, qui
forment le quinté de tête de cette édition. Janfy, ssiruuk
et Sébastien gagnent tous les trois des hébergements Nexen
Services comme prix.
------------------------------------------------------------
http://dev.nexen.net/news/gen.php3/2003/02/17/1507,0,1,0,0.php3


[16] Résumé Zend n° 125Haut ]
------------------------------------------------------------
Zend nous livre le résumé de la semaine de développement de
PHP. Au programme :

- requetes multiples avec l'extension sybase_ct
- Obtenir la liste complète des fonctions PHP
- la gestion des entrées/sorties de fichier sur Solaris
- compiler PHP à partir de la version CVS
- La réécriture de l'extension MySQL pour PHP5, avec de
nouvelles focntionnalités
- Amélioration du support Apache 2
- Extension de la fcontion file()

Bonne lecture!
------------------------------------------------------------
Guillaume Plessis (http://www.moolfreet.com/)
http://dev.nexen.net/news/gen.php3/2003/02/17/1506,0,1,0,0.php3


[17] Résumé PEAR de la semaine.Haut ]
------------------------------------------------------------
Mika Tuupola et Pierre-Alain Joye nous livrent cette semaine
encore le résumé de la semaine de développement de PEAR.

Ils reviennent tout d'abord sur les discussions de la liste
pear-dev :
- le développement de PEAR DB et PEAR MDB
- assurer une haute qualité

Ils recensent ensuite les paquets proposés cette semaine :
HTML_PageHandler, HTTP_Session, Net_IMAP, Crypt_DES.

Ensuite les paquets publiés : HTTP_Session, Auth,
cybercash, HTML_QuickForm, Net_Whois, HTML_Template_PHPLIB,
HTML_Template_Xipe, MDB_QueryTool, DB_QueryTool.
------------------------------------------------------------
Guillaume Plessis (http://www.moolfreet.com/)
http://dev.nexen.net/news/gen.php3/2003/02/17/1505,0,1,0,0.php3


[18] Améliorer ses pages d'erreurHaut ]
------------------------------------------------------------
Le DevCenter de O'reilly nous propose ces jours-ci un
tutorial sur l'amélioration des pages 404 d'un site web.

Passant de la configuration du serveur web Apache au
traitement des variables par PHP, ce tutoriel vous
permettra d'obtenir des rapports détaillés sur l'origine de
vos erreurs 404 et vous permettra de les exploiter plus
efficacement.

A lire
------------------------------------------------------------
Guillaume Plessis (http://www.moolfreet.com/)
http://dev.nexen.net/news/gen.php3/2003/02/17/1504,0,1,0,0.php3




***************************************************************
Pour modifier votre abonnement :
http://dev.nexen.net/services/login.php?direction=diffusion.php

Pour devenir membre de nexen.net :
http://dev.nexen.net/services/login.php?direction=diffusion.php

L'actualité journalière sur nexen.net :
http://dev.nexen.net/news/

Contact de l'éditeur
damien.seguy@nexen.net
***************************************************************
Cette lettre hebdomadaire est un un service de Nexen.net,
portail technologique PHP et MySQL éditée par la société
Nexen Services SA au capital de 49.536 Euros
inscrite au registre du commerce de Paris : RCS B 423 995 224
[Retour]