Un intrus peut exécuter du code avec les privilèges du serveur web.
C'est dû à un défaut de l'analyse des entêtes de requêtes HTTP POST lorsque la requête envoie du "multipart/form-data". (formulaire, envoie de fichiers).
Bien sûr, aucun serveur web ne tourne sous l'utilisateur root, n'est-ce pas ?
Méthode temporaire pour bloquer le problème (seulement si vos programmes PHP n'utilisent pas le HTTP POST):
ajouter dans la config du serveur web:
Order deny,allow
Deny from all
Il semblerait que le site soit assez surchargé...
NdM : j'ai ajouté un lien vers un miroir allemand dans la mesure où les français ne sont pas à jour.
Update : http://fr.php.net est maintenant à jour
Le "PHPjournal" vient d'être lancé par Bryan J Richard, avec le soutien de Rasmus Lerdorf. Ce journal a pour but de faire grandir les rangs de la communauté PHP internationale...
A l'occasion de la sortie de la version 3.0, Ldap Admin a été rebaptisé LABE comme Ldap Address Book Editor.
LABE est une application web GPL écrite en PHP qui vous permet d'administrer un annuaire LDAP au format compatible Evolution, Mozilla et Outlook.
La team de PHP Québec recherche actuellement des developpeurs PHP (d'urgence), des personnes motivés afin de partager la passion pour PHP... Le site se prépare pour la rentrée. Nous disposons d'hors et déjà de la structure et la charte graphique, reste à coder le site, orienter articles, news, tutorials...
Alors si vous avez envie de partager votre savoir à la communauté, join-us !
Contactez d'urgence PHP_pro
Nexen.net a rencontré Nick Lindrige, l'auteur de PHP Accelerator et PHP Encodeur : ce sont deux outils de base pour PHP. Le premier accélère les scripts PHP en fournissant un système de cache qui économise tout le temps d'analyse des scripts PHP, une fois suffit.
L'autre protège les sources en les rendant illisibles, mais toujours exécutables. C'est un produit qui est destiné aux "web agencies", aux applications qui veulent faire des démonstrations limitées dans le temps, ou pour protéger les mots de passe.
Un voyage dans le coeur de PHP, et des outils les plus modernes en préparations.
Comme d'habitude, l'interview est fournie en Francais intégral, avant la version anglaise! Profitez-en.
Avant la version PHP 4.2.0 la valeur par défaut du paramètre register_globals était à On. Cette option rendait les développements plus simples car on pouvait facilement échanger des variables de pages en pages. De nombreux développeurs PHP profitaient donc de la facilité d'utilisation engendré par cette configuration.
Cet article présent sur PHPTeam est à l'attention des développeurs qui ont, par le passé, utilisé la variable register_globals à On, qui voudraient maintenant changer leurs méthode de programmation pour se caler sur la nouvelle valeur par défaut de cette variable.
Cet article peut aussi intéresser les développeurs qui n'hébergent pas leur propre serveur et qui donc n'ont pas forcément le contrôle sur la configuration du fichier php.ini.
PHP 4.2.3 vient de sortir en toute discretion. Il est disponible actuellement en version source (Unix) et en exécutable binaire.
C'est une version de service, qui corrige uniquement des bugs dont la liste complète est disponible dans le ChangeLog présent en dernier lien.
La nouvelle est tombée sur fcl.php : le site phpinfo.net a fermé ses portes, selon la volonté de son créateur. Il va réouvrir sous une forme statique afin que rien ne soit perdu, mais c'est une passerelle utile qui se termine ici :(
Sinon, au rayon bonnes nouvelles, l'éléphant de php va peut-être devenir le logo officiel du langage. Cocorico (amer quand même).
nanoweb est un serveur web ecrit en php, il arrive en version 1.9 avec de nombreux modules et de nombreuses fonctionnalitées.
Il offre des performances correctes, il est souple, léger, bref, idéal pour pour héberger des sites à faibles et moyennes frequentations. Il nécessite la version binaire de php pour être exécuté.
Yahoo!, d'un des plus gros consommateur de bande passante du web :-), passe d'un système propriétaire pour ces sites web vers PHP. La présentation faite au PHP Con 2002 expliquant les motivations de leur choix est très intéressante. Vu sur slashdot.
La nouvelle version de Templeet est désormais disponible. Templeet dispose désormais d'un installateur automatique qui vous facilitera la tâche. Templeet est un moteur de template, utilisé ici-même, qui vous permettra de tout faire (weblog, galerie photos, etc). Il supporte plusieurs base de données, gère les sites multi-langues, offre un cache très performant (1milliard de hits / mois sur un PII 400), et toute l'API PHP est disponible.
Cette version devrait être la dernière avant la 1.0, tout retours est bienvenue.
Après un gros crash sur notre serveur qui nous a valu de perdre l'ensemble du site (argh ! Penser à toujours faire un backup !), le site francophone sur Squirrelmail est de retour.
Au passage on a fait quelques modifs : passage du site sur SPIP (un peu un concurrent de daCode ;-) , nouveaux articles plus étoffés, mailing-liste passée sous Mailman au lieu de Yahoo!Groups.
Rappellons que Squirrelmail est un webmail en PHP, configurable à gogo grâce à de nombreux plugins, et surtout une équipe de développeurs très actifs.
Pour info, Squirrelmail est le webmail officiel retenu pour MacOS X Server.
Après des mois de développement, nous sommes heureux de vous présenter la dernière version de SPIP. SPIP est un système de publication francophone sous PHP/MySQL permettant à tout un chacun de construire un site Web sans se préoccuper des détails techniques. Par rapport à d'autres CMS comme daCode ou le célèbre trucNuke, il met l'accent sur la facilité d'utilisation (installation, interface de gestion), la richesse des fonctionnalités (templates, correction typographique...), et les performances (système de cache à deux niveaux). La liste des spécificités de SPIP est trop longue pour la détailler ici (voir l'annonce des nouveautés pour un petit aperçu).
Je rajoute un lien vers daCode parce qu'il faut bien faire un peu de lèche, et que le système de modération des forums est génial.
Je connais (un peu) CVS et c'est visiblement très bien pour le développement en groupe d'application tournant en local. On peu en effet rapatrier tout le projet et le faire tourner tranquillement chez soit. Mais pour les applications serveur comment faire ?
CVS conserve les fichiers sous une forme qui lui est propre. Il est ainsi impossible par exemple de faire tourner directement sur le serveur des pages PHP qu'il gère.
Je pourrais rapatrier le PHP et le faire tourner en local mais ce n'est pas le but car il utilise une BD et des CGI qui ne sont que sur le serveur... Une idée ?
NdM: une idée : faire un cvs checkout sur le serveur, et un cvs update quotidien. Et vous, vous faites comment ?
Réédition du Hors-Série Login consacré au PHP. Parue en 2001, la première édition est en rupture définitive de stock. Cette deuxième mouture reprend quasi-intégralement le sommaire de la précédente édition avec quelques mises à jour : interview de Rasmus Lerdorf, historique du web dynamique et des bases de données, point sur la concurrence, PHP3 et PHP4, l'hébergement, l'installation sous Windows, l'installation sous Linux, l'utilisation de phpMyAdmin, les solutions "clés en main", les types de données, les structures de contrôle, les fonctions et opérateurs mathématiques, les classes et objets, les fonctions utiles. En pratique : un moteur de newsletter, inclure un système de news, intégrer un sondage, compteur de visiteurs, compteur de hits avancé, programmation d'un moteur de recherche, multi-utilisateurs et sessions en PHP4, sécuriser un script, créer un forum en PHP. Livré avec un CD comprenant serveurs, éditeurs et packages.
Après 3 mois et demi de fermeture BoomTchak ouvre à nouveau ses portes.
Pour mémoire, il s'agit d'un site francophone de discussions sur les CMS (Content Management System, comme daCode).
L'autre bonne nouvelle est qu'ils en ont profité pour migré de postNuke à SPIP. (j'aime bien SPIP ;-) )
En plus ils ont écrit un script de migration de postNuke vers SPIP (mis à disposition bien sur)
Je pense que la communauté SPIP va beaucoup y gagner. Elle est déjà très active, cela promet.
Ca y est, alors que nous l'attendions pour demain, la version 4.3.0 de PHP est sortie ce vendredi à 17h15.
Cette version apporte son lot de nouveautés, de corrections de bugs...
Un grand bravo aux officiels du PHP pour cette nouvelle version prometteuse !
Voici un script PHP (NdM: sous GPL) qui lit le(s) répertoire(s) (et sous-répertoires) 'source' donné(s) puis crée un ensemble de répertoires 'destination' en adaptant la capacité.
Il permet également la creation d'index de fichiers, d'images ISO et la gravure directe sur CD par le biais de cdrecord.
Cette mise à jour (nous en sommes à la version 1.6) améliore la rapidité du code, « nettoie » le CD quand la gravure plante, ne demande plus à graver le CD si vous lui avez demandé de ne pas le faire auparavent, etc.
Pratique pour graver à distance.
Après PHP 4.3.0 la nouvelle version qui se prépare est la version PHP 5.0.
C'est désormais le lancement officiel de PHP 5.0. qui a débuté récemment, avec sa création dans le serveur des sources CVS. Si vous ne connaissez pas encore ce (sous) site de PHP.net, rendez vous sur snaps.php.net, pour voir les premières moutures de la future version. Les fonctionnalités ne sont pas encore figées, et la date de publication de PHP 5 serait vers la fin de l'été 2003.
Vu sur www.nexen.net :
ca y est, MySQL 4.1 est désormais disponible au téléchargement. Comme d'habitude, elle est exempte de tout bug connu. Cette version inclut de nombreuses avancées majeures, attendues depuis longtemps par les utilisateurs :
+ support des sous-requêtes (requêtes imbriquées),
+ support complet des transactions,
+ support de l'Unicode,
+ clé étrangères,
+ Amélioration de la sécurité (SSL)
C'est toutefois une version pour les développeurs.
J'ai le plaisir de vous annoncer que la deuxième édition des 3 Heures du PHP aura lieu le jeudi 16 Janvier à 20h50. Pour ceux qui ne connaitraient pas "Les 3 Heures du PHP", c'est un concours de programmation PHP d'une durée de 3 heures (approximativement) où chacun est invité à coder un source sur un thème donné. De nombreux lots sont à gagner: Ouvrages offerts par Eyrolles, hébergements Nexen services, Zend Studio (IDE PHP), et un abonnement de 6 mois à ZePHPmag. Ce dernier publiera également un commentaire du concours, et une interview du gagnant si celui ci le désire. La participation est gratuite et maintenant totalement libre. (Il ne sera pas necessaire d'être enregistré sur phpApps.org, seule une adresse email valide suffira). J'espère vous retrouver nombreux à ce concours, débutants comme experts, d'ici là révisez bien ;)
Note du modérateur : le concours ne stipule pas que les productions doivent être libres
Plus important que les versions alpha qui sortent, une nouvelle version stable de Mysql vient de sortir. Il s'agit en fait de bugfix (mais évidemment ce n'est que les fonctionnalités qui intéressent le monde).
Le PHP Group vient d'annoncer qu'un trou de sécurité avait été découvert dans la version CGI de PHP 4.3.0, la toute dernière version en date du célèbre langage de script, très utilisé sur le web.
PHP 4.3.1, corrigeant ce trou de sécurité, vient de sortir dans la foulée. Tous ceux qui utilisent la version CGI de PHP 4.3.0 sont évidemment fortement invités à mettre à jour leur version de PHP.
NdM : Merci à Christophe Guilloux d'avoir également proposé cette dépêche.
Après 7 mois de travail et 2 release candidates, la version 2.4.0 de phpMyAdmin, la plus populaire des interfaces d'administration de MySQL sur le web, est sortie il y a peu (hier pour être précis).
Il y a de très nombreux ajouts, et pas mal de corrections de bugs (la liste est trop longue pour être énumérée).
Bref une bonne nouvelle aussi bien pour les codeurs en herbe que pour les mordus de PHP/MySQL !
Il y a 15 jours, j'avais rendu un benchmark test de charge concernant Zope, SPIP, Apache et Templeet, tournant sur un Openbrick dédié hébergé chez Lost-Oasis.
L'occasion était belle de mettre à jour le bench en incluant Drupal et PHP-Nuke.
Voilà qui est fait.
