Les failles
existantes
Veille Technologique

Les failles du PHP


Le PHP


PHP: Hypertext Preprocessor, plus connu sous son sigle PHP (acronyme récursif), est un langage de programmation libre principalement , utilisé pour produire des pages Web dynamiques via un serveur HTTP, mais pouvant également fonctionner comme n’importe quel langage interprété de façon locale. PHP est un langage impératif orienté objet comme C++.

Historique:

Le langage PHP fut créé en 1994 par Rasmus Lerdorf pour son site web. C’était à l’origine une bibliothèque logicielle en C dont il se servait pour conserver une trace des visiteurs qui venaient consulter son CV. Au fur et à mesure qu’il ajoutait de nouvelles fonctionnalités, Rasmus a transformé la bibliothèque en une implémentation capable de communiquer avec des bases de données et de créer des applications dynamiques et simples pour le Web. Rasmus décida alors en 1995 de publier son code, pour que tout le monde puisse l’utiliser et en profiter. PHP s’appelait alors PHP/FI (pour Personal Home Page Tools/Form Interpreter). En 1997, deux étudiants, Andi Gutmans et Zeev Suraski, redéveloppèrent le cœur de PHP/FI. Ce travail aboutit un an plus tard à la version 3 de PHP, devenu alors PHP: Hypertext Preprocessor. Peu de temps après, Andi Gutmans et Zeev Suraski commencèrent la réécriture du moteur interne de PHP. Ce fut ce nouveau moteur, appelé Zend Engine – le mot Zend est la contraction de ZEev et aNDi – qui servit de base à la version 4 de PHP.

En 2002, PHP est utilisé par plus de 8 millions de sites Web à travers le monde, en 2007 par plus de 20 millions et en 2013 par plus de 244 millions.

La version actuelle est la version 5, sortie le 13 juillet 2004. Elle utilise Zend Engine 2 et introduit une modélisation objet plus performante, une gestion des erreurs fondée sur le modèle des exceptions, ainsi que des fonctionnalités de gestion pour les entreprises. PHP 5 apporte beaucoup de nouveautés, telles que le support de SQLite ainsi que des moyens de manipuler des fichiers et des structures XML basés sur libxml2 :

  • une API simple nommée SimpleXML ;
  • une API Document Object Model assez complète ;
  • une interface XPath utilisant les objets DOM et SimpleXML ;
  • intégration de libxslt pour les transformations XSLT via l’extension XSL ;
  • une bien meilleure gestion des objets par rapport à PHP 4, avec des possibilités qui tendent
    à se rapprocher de celles de Java.

La dernière mise à jour est la 5.6.6 datant du 19 février 2015.

Depuis juin 2011 et le nouveau processus de livraison de PHP, le cycle de livraison de PHP est d’une mise à jour annuelle comportant des changements fonctionnels importants, la durée de vie d’une branche est de 3 ans et trois branches stables sont maintenues. Cela signifie que lorsqu’une nouvelle version de PHP 5.x sort, la version 5.x-3 n’est plus supportée.

Depuis la sortie de PHP 5.6, la configuration est :

  • branche de développement : 5.7 ;
  • branches encore supportées (corrections de bugs et de la sécurité) : 5.6, 5.5 ;
  • branche en obsolescence et ne recevant que des correctifs de sécurité : 5.4 ;
  • toutes les branches < 5.4 ne sont plus supportées.

Il est à noter qu’historiquement, PHP disposait d’une configuration par défaut privilégiant la souplesse à la sécurité (par exemple register globals, qui a été activé par défaut jusqu’à PHP 4.2). Cette souplesse a permis à de nombreux développeurs d’apprendre PHP mais le revers de la médaille a été que de nombreuses applications PHP étaient mal sécurisées. Le sujet a bien été pris en main par le PHPGroup qui a mis en place des configurations par défaut mettant l’accent sur la sécurité. Il en résultait une réputation de langage peu sécurisé, réputation d’insécurité qui n’a plus de raison d’être.

Source: Wikipedia