Sécurité
Nous avons commencé par abordé transversalement l'ensemble des problèmes de sécurité les plus courant : injections, XSS (Cross Site Scripting), vol de données … ce qui nous a permis de distinguer les problèmes de sécurité selon deux axes :
- ne pas accepter n'importe quelles données en entrés
- limité la diffusion d'information en sortie à l'essentiel
Xavier Gorse a par exemple mis l'accent sur l'utilité d'un framework pour filtrer les variables d'entrées (GET, POST etc) afin d'éviter toute injection potentielle sans avoir à s'en soucier soit même.
D'un autre côté l'importance de fournir un minimum d'information sur l'application elle même a été mis en avant. Éviter par exemple de dévoiler le type de clés utilisée pour indexé des articles en base de données voire même pour les puriste désactivé l'en-tête HTTP X-Powered-By.
Tout au long de l'échange un autre axe c'est dessiné pour aborder les problèmes de sécurité : les mises à jour. Conserver des versions à jour de tous ses outils, librairies, bibliothèques ou même de toute extension installé à été mis en avant et élevé au rang de « bonne pratique ».
En conclusion donc nous pouvons dire que la sécurité en PHP s'articule en trois axes :
- filtrer les données d'entrées (c'est le grand classique
Never trust foreign data
) - diffuser le moins d'information possible sur son application
- conserver des versions à jour
PHP 5.3
Nous avons introduit la session sur PHP 5.3 par un tour de table des nouveautés.
L'introduction des namespaces (espaces de noms) à par exemple été bien accueilli, même si cependant le choix final de l'opérateur \ comme séparateur n'a pas fait l'unanimité.
D'un autre côté nous avons pu partager notre stupéfaction de voir apparaître dans PHP 5.3 la structure de contrôle goto. Surtout lorsque PHP tend encore à améliorer son moteur objet dans cette nouvelle version avec l'arrivée de la résolution statique à la volée (late static biding).
Néanmoins lorsque nous nous sommes aperçu que quasi aucun développeur autour de la table n'utilisait encore cette version de PHP (à part peu être l'irréductible que je suis), nous avons chercher les causes de cet évident manque d'engouement.
La raison est pour le moins évidente : PHP 5.3 ne fait pas encore partie des paquets partagés par les grandes distributions (RedHat et Debian principalement). Voilà sans doutes ce qui rebutent les administrateurs systèmes à utiliser cette version de PHP.
Pourtant Xavier Gorse nous a expliqué comment l'équipe de Symfony et Fabien Potencier en étaient venu à privilégier PHP 5.3 pour le développement de la deuxième version du célèbre framework de Sensio Labs.
Un des développeurs de l'équipe d'Ubuntu (désolé, je ne me souviens plus du nom) nous expliquais comment on pouvait s'attendre à voir arriver PHP 5.3 dans la version d'Ubuntu prévu pour dans environ 6mois.
Ce qui nous laisse donc à présager que PHP 5.3 ne sera pas réellement généralisé avant l'horizon 2010. Ce que je trouve bien dommage au vu de la pléiade de nouvelles fonctionnalités intéressante qu'apporte cette version.
Crédit Photos : Raphaël Rougeron
Jeu de briques
Snake
Pacman
Bubble