News PHP

11 commentaires
le 19/05/2005 à 13:37
Faille de $_SERVER['PHP_SELF']
Source Nexen :

Sean Coates relate sa découverte des XSS là où il l'attendait pas : dans $_SERVER["PHP_SELF"].

Les XSS consistent à injecter du code JavaScript dans une page, en faisant placer des données dans le code HTML par le script PHP. Le grand classique est
echo $_GET["x"];. qui injecte toute la variable x passée en méthode GET dans le code HTML. Il ne reste plus qu'à donner à x un peu de code Javascript, et le tour est joué.

Donc tout comme _GET, _POST et _COOKIE, il est recommandé de traiter _SERVER avant de les utiliser, par exemple avec un htmlentities. Sean vous explique pourquoi.

En gros, PHP_SELF renvoie l'url courante, donc il devient alors possible de modifier l'url pour y introduire du code javascript facilement.

L'article en Anglais
3 commentaires
le 09/05/2005 à 11:54
PHP et la sécurité
Source Nexen :

Nexen nous propose deux sites pour améliorer la sécurité de vos sites pour ne pas tomber dans les pièges les plus basiques mais pas forcement connus de tous.

Le premier site explique comment se protéger des failles XSS , par exemple une ligne javascript permettant de récuperer les infos d'un cookie.
mais aussi Cross-site request forgery (CSRF) ou autres.

Le deuxième site (plus complet) est un manuel consacré à la securité, on y retrouve les injections SQL, Les failles XSS et bien d'autres que je vous laisse le soin de découvrir.

Les deux sites sont en anglais.

Security tips for web developers
Guide de Phpsec.org
Ecrire un commentaire
Source JDN :

PHP est connu pour présenter par défaut un grand nombre de fonctions permettant de gérer directement les développements Web les plus courants. L'e-mail ne fait pas défaut. Si la plupart des développeurs PHP ont déjà rencontré la fonction mail() (ne serait-ce que pour passer outre les limitations d'un hébergeur), certains ne ce sont pas penchés de l'autre côté du miroir, là où PHP peut recevoir des messages via les protocoles habituels.

L'article complet
Ecrire un commentaire
le 28/04/2005 à 11:47
Un peu de reflection en PHP5
Voici un article interressant sur l' API Reflection PHP5

Je cite :

Reflection est une API orientée objet constituée d'une interface et d'un ensemble de classes disponible par défaut depuis PHP5 servant à faire du reverse-enginering sur les fonctions, les classes ou les extensions.
Dans cet article, nous allons voir une utilisation possible de quelques unes des classes proposées pour générer automatiquement de la documentation, et plus précisemment un document XML représentatif du squelette d'une classe.

A noter également que ce site comporte de nombreux articles interressants sur la programation orienté objet avec PHP5 puisque c'est le thème principal et unique du site.
Donc ami de la prog procédural, passez à la POO !

Un peu de reflection en PHP5
Passez du procédural à la POO (Programation orienté objet)
1 commentaire
le 14/04/2005 à 10:52
Fan du headers already sent ?
News un peu tardive desolé ..

Voici un article tres utile pour tous les néophytes, en effet la question la plus récurente des forums étant le problème posé dans l'article !

Headers already sent : j'ai perdu la tête

Je cite :
Les messages d'erreur "Cannot modify header information - headers already sent by ..." et "Cannot send session cookie - headers already sent by ..." sont des grands classiques du développement PHP, mais beaucoup ne comprennent pas exactement toutes les raisons de ce type d'anomalie.

Bonne lecture ^^

L'article
Les mises au point de Fred
Ecrire un commentaire
le 01/04/2005 à 13:00
PHP 5.04 et 4.3.11 publiés
Source php.net :

Donc ces upgrades n'apportent apparement pas de grandes revolutions en soi. Ce sont des versions de maintenance et donc corrigent des bugs plus ou moins serieux , c'est pour cela que vous êtes "fortement" (donc obligé en gros) conseillés d'upgrader vos versions de PHP.


. Changelog de PHP5
. Changelog de PHP4
. Le site de php.net
. La page de téléchargement
Ecrire un commentaire
le 18/03/2005 à 18:19
Direction|PHP Mars 2005 est paru!
Sommaire

* La programmation orientée aspect par William Candillon
* La réplication MySQL par Damien Séguy
* Un moteur de gabarit XML avec PHPTAL par José Silva
* Renforcer le processus d'identification par Graeme Greene
* Les interfaces graphiques pour MySQL par Damien Séguy
* Interview de Wez Furlong par Damien Séguy
* Transformer une classe en application graphique par Scott Mattocks
* Archivez vos données avec PHP par Christian Wenz
* Design Patterns : l'outil de conception haut comme trois cartes par Marcus Baker
* Tribune libre : PHP Québec 2005 par Damien Seguy
* Revue de livre : PHP5, cours et excercices par Jean Engels

Direction|PHP et numéro gratuit
Ecrire un commentaire
Source Nexen

Pilat.free.fr vous propose une application de dessin écrite entièrement en PHP, JavaScript et SVG. SVG est le format de graphiques vectoriel du W3C.

Le résultat est une interface de dessin suprenante. L'application est utilisable en ligne directement, ou bien en téléchargement pour installation sur votre site Web. Après les éditeurs textes avancés, voici maintenant un éditeur de dessin à ajouter sur votre application Web.

SVGDraw
Démo en Ligne
Télécharger
La news originale
1 commentaire
le 05/03/2005 à 18:27
Concours avancé sur dotkom
Bonjour a tous!

La plupart d'entre vous doivent connaître la dotkom-team !
Pour ceux à qui ce nom ne dirait rien, la dotkom-team est une équipe de jeunes créateurs amateurs qui réalisent gratuitement des designs, des scripts et des tutoriaux pour tous :)

Ce que nous vous proposons aujourd'hui, c'est un concours pour codeurs PHP ayant un niveau "avancé" :)

Dans le cadre de ce concours, vous aurez a realiser un script basé sur la suite de Conway qui devrait automatiser le calcul de cette suite.

Cependant, je vous recommande d'aller voir le post a ce sujet sur le site de la dotkom-team, où vous pourrez trouver toutes les informations necessaires à la réalisation de ce script ainsi que les prix que vous pouvez gagner !

A bientôt!

Tyl0x, Zipjo, Victor et toute la dotkom-team
LoadingChargement en cours