Synthèse du barcamp PHP Toulousain
Par Méthylbro le mercredi 4 novembre 2009, 13:00 - Communauté - Lien permanent
Comme vous le savez sans doutes jeudi dernier j'ai répondu à l'invitation de Linagora et de l'AFUP qui organisaient le temps d'une soirée un barcamp PHP sur Toulouse.
Un grand remerciement à Linagora pour nous avoir accueillis (développeurs et amateurs de PHP Toulousains) dans leurs locaux de Ramonville. Un remerciement plus particulier à Xavier Gorse pour être venu participé et soutenir une telle initiative si rare dans la ville rose.
En réalité ce billet fait suite à l'appel lancé par Raphaël Rougeron qui a déjà fait la synthèse des autres sessions (Edit : Christophe le Bot à également pris le temps de rédiger une synthèse de la soirée). Ayant participé aux sessions Sécurité et PHP 5.3 (désolé mais j'ai un peu décroché durant la dernière session sur le Testing) je vais donc partager un petit bilan de ce qui a été abordé sur ces deux thèmes.
N'ayant pas pris de notes, je vais donc devoir faire appel à ma mémoire. Dans le cas ou j'oublierais certaines choses, j'invite les autres participants à me corriger via les commentaires.
Sécurité
Nous avons commencé par abordé transversalement l'ensemble des problèmes de sécurité les plus courant : injections, XSS (Cross Site Scripting), vol de données … ce qui nous a permis de distinguer les problèmes de sécurité selon deux axes :
- ne pas accepter n'importe quelles données en entrés
- limité la diffusion d'information en sortie à l'essentiel
Xavier Gorse a par exemple mis l'accent sur l'utilité d'un framework pour filtrer les variables d'entrées (GET, POST etc) afin d'éviter toute injection potentielle sans avoir à s'en soucier soit même.
D'un autre côté l'importance de fournir un minimum d'information sur l'application elle même a été mis en avant. Éviter par exemple de dévoiler le type de clés utilisée pour indexé des articles en base de données voire même pour les puriste désactivé l'en-tête HTTP X-Powered-By.
Tout au long de l'échange un autre axe c'est dessiné pour aborder les problèmes de sécurité : les mises à jour. Conserver des versions à jour de tous ses outils, librairies, bibliothèques ou même de toute extension installé à été mis en avant et élevé au rang de « bonne pratique ».
En conclusion donc nous pouvons dire que la sécurité en PHP s'articule en trois axes :
- filtrer les données d'entrées (c'est le grand classique
Never trust foreign data
) - diffuser le moins d'information possible sur son application
- conserver des versions à jour
PHP 5.3
Nous avons introduit la session sur PHP 5.3 par un tour de table des nouveautés.
L'introduction des namespaces (espaces de noms) à par exemple été bien accueilli, même si cependant le choix final de l'opérateur \ comme séparateur n'a pas fait l'unanimité.
D'un autre côté nous avons pu partager notre stupéfaction de voir apparaître dans PHP 5.3 la structure de contrôle goto. Surtout lorsque PHP tend encore à améliorer son moteur objet dans cette nouvelle version avec l'arrivée de la résolution statique à la volée (late static biding).
Néanmoins lorsque nous nous sommes aperçu que quasi aucun développeur autour de la table n'utilisait encore cette version de PHP (à part peu être l'irréductible que je suis), nous avons chercher les causes de cet évident manque d'engouement.
La raison est pour le moins évidente : PHP 5.3 ne fait pas encore partie des paquets partagés par les grandes distributions (RedHat et Debian principalement). Voilà sans doutes ce qui rebutent les administrateurs systèmes à utiliser cette version de PHP.
Pourtant Xavier Gorse nous a expliqué comment l'équipe de Symfony et Fabien Potencier en étaient venu à privilégier PHP 5.3 pour le développement de la deuxième version du célèbre framework de Sensio Labs.
Un des développeurs de l'équipe d'Ubuntu (désolé, je ne me souviens plus du nom) nous expliquais comment on pouvait s'attendre à voir arriver PHP 5.3 dans la version d'Ubuntu prévu pour dans environ 6mois.
Ce qui nous laisse donc à présager que PHP 5.3 ne sera pas réellement généralisé avant l'horizon 2010. Ce que je trouve bien dommage au vu de la pléiade de nouvelles fonctionnalités intéressante qu'apporte cette version.
Crédit Photos : Raphaël Rougeron
Commentaires
Merci pour la mini synthèse (et moi aussi je suis sous PHP 5.3 @ home).
Mais pourquoi le goto ??
Impeccable, tous les ateliers que je n'ai pas suivis ! Merci.
Voici ma synthèse en complément :
http://blog.christophelebot.fr/2009...